OWASP Top 10 攻撃シナリオまとめ
OWASP Top 10:2021
A01 アクセス制御の不備
シナリオ #1: アプリケーションが、アカウント情報にアクセスするSQL呼出しに未検証のデータを使用しています。
pstmt.setString(1, request.getParameter("acct"));
ResultSet results = pstmt.executeQuery( );
攻撃者は、単にブラウザでパラメータ'acct'を任意のアカウント番号に改変して送信します。適切な検証がない場合、攻撃者は任意のアカウントにアクセスできます。
https://example.com/app/accountInfo?acct=notmyacct
シナリオ #2: ある攻撃者は、ブラウザでURLを指定してアクセスします。管理者ページにアクセスするには管理者権限が必要です。
https://example.com/app/getappInfo
https://example.com/app/admin_getappInfo
認証されていないユーザがこれらのページにアクセスすることができるなら、欠陥があります。 管理者でない人が管理者のページにアクセスできるなら、それも欠陥です。
いいなと思ったら応援しよう!
よろしければサポートお願いします。いただいたサポートは、書籍等の購入に充てさせていただきます。