Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥

12 Case Studies for the Access Controls of Web ...

Avatar for OWASP Japan OWASP Japan
March 19, 2014
3
1.7k

12 Case Studies for the Access Controls of Web Application #appsecapac2014

Avatar for OWASP Japan

OWASP Japan

March 19, 2014
Tweet

More Decks by OWASP Japan

See All by OWASP Japan
OWASP Night 2019.03 Tokyo
Avatar for OWASP Japan owaspjapan
0
360
OWASP SAMMを掻甚したセキュア開発の掚進
Avatar for OWASP Japan owaspjapan
0
1.1k
20190107_AbuseCaseCheatSheet
Avatar for OWASP Japan owaspjapan
0
190
セキュリティ芁求定矩お゙䜿える非機胜芁求グレヌドずASVS
Avatar for OWASP Japan owaspjapan
5
1.1k
AWSクラスタに捧ぐりェブを衛っおいく方法論ず死なない皋床の修矅堎の䟡倀
Avatar for OWASP Japan owaspjapan
9
3.4k
Shifting Left Like a Boss
Avatar for OWASP Japan owaspjapan
2
310
OWASP Top 10 and Your Web Apps
Avatar for OWASP Japan owaspjapan
2
400
OWASP Japan Proposal: Encouraging Japanese Translation
Avatar for OWASP Japan owaspjapan
1
260
elegance_of_OWASP_Top10_2017
Avatar for OWASP Japan owaspjapan
2
540

Featured

See All Featured
Sharpening the Axe: The Primacy of Toolmaking
Avatar for Bryan Cantrill bcantrill
46
2.6k
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
697
190k
The Psychology of Web Performance [Beyond Tellerrand 2023]
Avatar for Tammy Everts tammyeverts
49
3.2k
The Web Performance Landscape in 2024 [PerfNow 2024]
Avatar for Tammy Everts tammyeverts
12
960
Rebuilding a faster, lazier Slack
Avatar for samanthasiow samanthasiow
84
9.3k
Making Projects Easy
Avatar for Brett Harned brettharned
120
6.5k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
Avatar for Michelle Schulp Hunt marktimemedia
31
2.6k
Done Done
Avatar for chrislema chrislema
186
16k
Large-scale JavaScript Application Architecture
Avatar for Addy Osmani addyosmani
514
110k
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
55
12k
Fight the Zombie Pattern Library - RWD Summit 2016
Avatar for Marcelo Somers marcelosomers
234
17k
Visualization
Avatar for Eitan Lees eitanlees
150
16k

Transcript

  1. 2014/03/19-20 本田 厇

  2. !  Takashi Honda 本田 厇(ほんだ たかし) ◊  セキュリティも開発もやる兌業゚ンゞニアです。 !  Business -

    ◊  C/Sアプリ開発 5幎 ◊  Webアプリ開発 5幎 ◊  Webアプリ脆匱性怜査 7幎 !  Private - ◊  『脆匱性はどこにある?』をテヌマに‚ Webアプリケヌションのセキュリティ‚ に぀いお぀ぶやいおいたす。‚ (twitter @hagurese) ◊  C#でFiddlerアドオンを䜜ったり、‚ JavaでAndroidアプリを䜜ったり‚ しおいたす。

  3. !  Webアプリ脆匱性怜査でよく怜出される危険な脆匱性 クロスサむト スクリプティング (XSS) SQLむンゞェクション (その他のむンゞェクション) クロスサむト リク゚ストフォヌゞェリ (CSRF

    / XSRF) アクセス 制埡の問題

  4. !  怜査報告評䟡察策蚈画察策実斜再怜査 クロスサむト スクリプティング (XSS) SQLむンゞェクション (その他のむンゞェクション) 開発者 (XSS) 意倖ず箇所が倚いけど察策はちゃんず分かる。

    個別に察策ではなく党䜓で察策できないものか・・・。 (SQL) 急いで察策しないず・・・。 䞀旊は個別に察策するけど、ホントは 党䜓で察策した方がいいな・・・。 クロスサむト リク゚ストフォヌゞェリ (CSRF / XSRF) (CSRF) 攻撃方法がトリッキヌで分かりにくい けど察策はシンプルで分かりやすい。 システム党䜓に圱響するので 察策した埌のテストが倧倉そうだ・・・。 怜査員 これなら倧䞈倫ww

  5. !  混沌、混乱、誀解、䞍平䞍満  怜査員 開発者 (怜査前) アクセス制埡はちゃんず䜜っおありたす。 バッチリ問題ないはずですよ。 ネットワヌクでもしっかり防いでいたす し・・・。 (報告)

    怖さが䌝わらないかも・・・。 盎し方もお䌝えするのが難しいな・・・。 システム党䜓に展開しおいただける だろうか・・・。 アクセス 制埡の問題 (再怜査) ああ、やっぱり盎っおない・・・orz (怜査) アクセス制埡の定矩を確認でき ないず事象の刀断が難しい・・・。 怜査環境によっお怜出できたり、 できなかったりしたす。 ツヌルでは芋぀けられないこず が倚いです。 (評䟡) ちゃんず䜜ったはずなのに指摘されるなんお・・・。 フレヌムワヌクがやっおくれおるのではないの こんなの倧した問題ではないのでは・・・。 (察策) どう察策したらいいのかさっぱり分からないよ・・・。 この察策でちゃんずできおいるだろうか・・・。 䜕だか他の堎所にもあるような気がしおきた・・・。

  6. 本日はWebアプリケヌションのアクセス制埡に ぀いお突っ蟌んでお話ししたいず思いたす。 !  アクセス制埡の問題 !  アクセス制埡の基本 !  12の事䟋に孊ぶアクセス制埡 !  たずめ

  7. None

  8. !  Webアプリケヌションのアクセス制埡を回避するこず で、本来はアクセスできない機胜や情報に攻撃者が アクセスしおきたす。 管理者暩限のナヌザヌでなければ‚ アクセスできないナヌザヌ管理機胜に‚ アクセスし、ナヌザヌの䞀芧デヌタを‚ CSVファむルに゚クスポヌトする。 ECサむトで他人の賌入履歎を閲芧する。 入札システムで自瀟が入札を行う前に‚

    ラむバル䌚瀟の入札内容を閲芧する。

  9. !  JVN iPedia 脆匱性察策情報デヌタベヌス‚ (http://jvndb.jvn.jp/index.html) ◊  CVSSによる深刻床 !  CVSS共通脆匱性評䟡システムCommon Vulnerability

    Scoring System) ◊  IPA/情報セキュリティ/共通脆匱性評䟡システムCVSS抂説‚ (http://www.ipa.go.jp/security/vuln/CVSS.html) 深刻床 CVSS基本倀 レベルⅢ (危険) 7.010.0 レベルⅡ (è­Šå‘Š) 4.06.9 レベルⅠ (泚意) 0.03.9 アクセス制埡の問題は 倧倉危険!!!

  10. !  OWASP 「OWASP TOP 10 – 2013 日本語版」 ◊  OWASP

    / OWASP Top 10 – 2013 日本語版‚ (https://www.owasp.org/images/7/79/ OWASP_Top_10_2013_JPN.pdf) 「A4 - 安党でない    オブゞェクト盎接参照」 「A7 - 機胜レベル    アクセス制埡の欠萜」

  11. !  共通脆匱性タむプ䞀芧CWE‹ Common Weakness Enumeration ◊  IPA/情報セキュリティ/共通脆匱性タむプ䞀芧CWE抂説‚ (http://www.ipa.go.jp/security/vuln/CWE.html) 「CWE-264 -

    認可・     暩限・アクセス制埡」

  12. !  STRIDE手法(セキュリティ脅嚁の評䟡モデル) ◊  Microsoft Security Engineering and Communications Group 2006(http://msdn.microsoft.com/ja-jp/magazine/

    cc163519.aspx) 「特暩の昇栌  (Elevation of Privilege)」
  13. None

  14. !  「あるサブゞェクト胜動䜓、人間やプロセスが、どのオブ ゞェクト受動䜓、システムやファむルに察しお、どのアク セス読み曞き実行ができるかを蚱可したり拒吊し たりする機胜を指す。」 !  Wikipedia / アクセス制埡 /

    コンピュヌタセキュリティのアクセス制埡 (http://ja.wikipedia.org/wiki/アクセス制埡) !  「システム内のリ゜ヌスに察するアクセス芁求に察し、その 可吊を制埡するこずによっお、セキュリティの目的を達成す るための技術である。 」 !  IPA 2004 情財第 736 号 / アクセス制埡に関するセキュリティポリ シヌモデルの調査 報告曞 / 2.1.2 アクセス制埡(http:// www.ipa.go.jp/security/fy16/reports/access_control/ documents/PolicyModelSurvey.pdf)

  15. !  どのようにアクセス制埡するのか? ◊  アクセスの可吊を刀定したす。 OKならば芁求された機胜を 実行したす。 NGならば芁求された機胜を 実行せず、゚ラヌにしたす。 刀定匏 result :=

    ACF(x) : {OK, NG} xは䜕か?

  16. !  䜕を芋お刀定するのか?(xは䜕か?) ◊  芁求のコンテキスト 機胜(Verb)に 察する芁求の コンテキスト その他 (Else) 䞻䜓

    (Subject) 察象 (Object) 刀定匏 result = ACF(S,V,O,E)‹           = ACFV (S,O,E) コンテキストの組み合わせは7通り‚ [S], [O], [E], [S-O], [S-E], [O-E], [S-O-E] その他(E:else)の芁玠 (システム日付、通信経路など) 芁求の察象(O:object)ずその 属性(所有者、状態、期間など) 芁求の䞻䜓(S:subject)ず その属性(暩限、ロヌルなど) 芁求されおいる 機胜(V:verb)

  17. !  どのように刀定するか? ◊  刀定論理 → プログラムコヌド ◊  刀定基準(アクセス制埡ポリシヌ)  → マスタデヌタ 刀定論理 コンテキスト 刀定基準

    刀定結果 コンテキストを評䟡 コンテキスト間の関連、敎合性を評䟡 コンテキストを基準に察しお照䌚 刀定論理の挙動を パラメヌタ化

  18. !  い぀刀定するのか? ◊  倖郚に䜜甚を及がす④曎新の前たでに刀定したす。

  19. !  どうやっおアクセス制埡を実装したらよいのか? !  IPA 「セキュアプログラミング講座」 / Webアプリケヌション線‚ / 第2ç«  アクセス制埡

    / アクセス認可‚ (http://www.ipa.go.jp/security/awareness/vendor/ programmingv2/contents/102.html) 詳しく曞いおありたす!? 必読です!!

  20. 1.  操䜜無効のボタン・リンクを有効化 2.  URLを盎接指定 3.  リク゚ストを盎接指定 4.  埌続凊理のURL・リク゚ストを盎接指定 5.  怜玢結果䞀芧衚瀺から詳现衚瀺におオブゞェクトIDを指定

    6.  ニュヌス機胜の詳现衚瀺におオブゞェクトIDを指定 7.  削陀枈みのオブゞェクトIDを指定 8.  リスト遞択でリストにない項目IDを指定 9.  ダりンロヌドコンテンツのURLを盎接指定 10.  ブラりザから枡される制埡パラメヌタを改ざん 11.  デヌタ項目の参照・曎新制埡 12.  䞍完党な゚ラヌ凊理

  21. !  管理者ナヌザヌでログむンした堎合に䜿甚できる「管理者甚 メニュヌ」は、䞀般ナヌザヌでは「操䜜無効」です。 操䜜無効 ※画面はむメヌゞです。実際のものずは異なりたす。

  22. !  䞀般ナヌザヌでログむンした攻撃者が、ブラりザの開発者 ツヌルを䜿甚しお「disabled=“disabled”」を削陀したす。 削陀

  23. !  「管理者甚メニュヌ」が操䜜可胜になりたす。 操䜜可胜!!

  24. !  有効になった「管理者甚メニュヌ」から画面操䜜を行った堎 合、管理者甚機胜を䜿甚できたす。 開発者 ではボタン・リンクを非衚瀺しおしたおう (o) 迷わずクリック!! 怜査員 それではダメなんですorz

  25. !  䞀般ナヌザヌでログむンした堎合には「管理者甚メニュヌ」は 衚瀺されたせん。

  26. !  攻撃者は、管理者甚機胜を瀺すURLを盎接指定したす。 ◊  ブラりザのアドレスバヌにURLを入力したす。 ◊  事前にURLを知っおいる必芁がありたす。 !  よくあるパス名、連番や呜名芏則によっお䜓系化されたIDのパス名 !  オヌプン゜ヌスのWebアプリケヌション

    !  カスタムアプリケヌションの関係者(開発者、元管理者など) https://appsecapac.org/2014/admin/

  27. !  管理者甚機胜を䜿甚できたす。 開発者 POSTメ゜ッドでFORMパラメヌタを枡せば、アドレスバヌに URLを入力するだけでは機胜を䜿甚できなくなるよね (o) 怜査員 いえいえ。 それもダメなんですorz

  28. !  POSTメ゜ッドを甚いおFORMパラメヌタを枡すため、URLを指 定するだけでは管理者甚機胜を䜿甚できたせん。 <form name="admin" method="POST" action="./page/" enctype="application/x-www-form-urlencoded"> <input type="hidden"

    name="func" value="admin"> <a onclick=“javascript:document.forms[‘admin’].submit()”> ADMIN</a> </form> HTML゜ヌス

  29. !  攻撃者は、任意のHTTPリク゚ストを䜜成しお、サヌバヌに送 信するこずが可胜です。 POST https://appsecapac.org/2014/page/ HTTP/1.1 Referer: https://appsecapac.org/2014/ Content-Type: application/x-www-form-urlencoded

    Host: appsecapac.org Content-Length: 10 Cookie: wfvt_3032309459=52e3b9f192d
 func=admin HTTPリク゚スト ※クッキヌは䞀般ナヌザヌでログむンしたずきに蚭定されたもの

  30. !  管理者甚機胜を䜿甚できたす。 怜査員 サヌバヌ偎でアクセス制埡をチェックしたす。  ブラりザ偎では、セキュリティを目的ずしたアクセス制埡は期埅できたせん。  ナヌザビリティ向䞊を目的ずした操䜜の制埡はある皋床期埅できたす。

  31. !  「トップメニュヌ」 → 「管理者甚ペヌゞ」のリク゚ストでは、 サヌバ偎でアクセス制埡をチェックしおいたす。 開発者 サヌバヌ偎でチェックしたから、もう安心だ (o) 怜査員 確かに、でも・・・

  32. !  攻撃者は、管理者甚機胜のリク゚スト(ダりンロヌド凊理)を盎 接指定したす。 ◊  システムには「メニュヌ」 → 「怜玢」 → 「䞀芧衚瀺」 →

    「入力」 → 「確 認」 → 「完了」 ずいった凊理フロヌがありたす。 ◊  凊理フロヌの先頭でチェックした埌はアクセス制埡をチェックしおいたせ ん。 POST https://appsecapac.org/2014/page/ HTTP/1.1 Content-Type: application/x-www-form-urlencoded Host: appsecapac.org Content-Length: 17 Cookie: wfvt_3032309459=52e3b9f192d
 func=admin.export HTTPリク゚スト

  33. !  埌続凊理のリク゚ストを指定した堎合、管理者甚機胜を䜿甚 できたす。 怜査員 党おのリク゚ストにおサヌバヌ偎でアクセス制埡をチェックしたす。 凊理フロヌの先頭でチェックするだけでは䞍十分です。 先頭でチェックした結果をセッションで蚘憶しお利甚するこずもできたす。 HTTP/1.1 200 OK

    Content-Length: 123456 Content-Type: application/octet-stream Expires: -1 Server: Apache Content-Disposition: inline; filename=export.xml <appsecapac><users><user><id>00000001</id><name>... HTTPレスポンス

  34. !  ショッピングサむトの賌入履歎機胜はログむンしおいるナヌ ザヌの賌入履歎デヌタを衚瀺したす。 ※画面はむメヌゞです。実際のものずは異なりたす。

  35. !  他のナヌザヌの賌入履歎が衚瀺されるこずはありたせん。    クリック!!

  36. !  攻撃者は、詳现衚瀺のリク゚ストに含たれる賌入履歎IDの倀 を改ざんしたす。 ◊  事前に賌入履歎IDを知っおいる必芁がありたす。 !  掚枬可胜なオブゞェクトID(日付や連番など) GET http://acshopping.test/orderdetails/5 HTTP/1.1

    Host: acshopping.test Referer: http://acshopping.test/customer/orders Cookie: ASP.NET_SessionId=o0ijy1o5hky4yeta033s0i3w;
 HTTPリク゚スト GET http://acshopping.test/orderdetails/3 HTTP/1.1 Host: acshopping.test Referer: http://acshopping.test/customer/orders Cookie: ASP.NET_SessionId=o0ijy1o5hky4yeta033s0i3w;


  37. !  他のナヌザヌの賌入履歎を閲芧できたす。 怜査員 賌入履歎IDに該圓する賌入履歎のナヌザヌID項目がログむンしお いるナヌザヌIDず䞀臎するこずをチェックしたす。 怜玢結果をサヌバ偎のセッションで蚘憶しおおき、その䞭から詳现 衚瀺する方法もありたす。

  38. !  ニュヌス機胜は、指定された「掲瀺期間」に該圓するニュヌス を䞀芧衚瀺したす。 ◊  ニュヌスには「掲瀺期間」を指定するずこずができたす。

  39. !  「掲瀺期間」範囲倖の日時では、ニュヌスは衚瀺されたせん。 クリック!!

  40. !  攻撃者は、「詳现衚瀺」のリク゚ストに含たれるニュヌスIDを 改ざんしたす。 ◊  事前にニュヌスIDを知っおいる必芁がありたす。 GET http://acshopping.test/20140201 HTTP/1.1 Host: acshopping.test

    Referer: http://acshopping.test/ Cookie: ASP.NET_SessionId=idtbjidawiwgmwrv02cwn54t;
 HTTPリク゚スト GET http://acshopping.test/20140321 HTTP/1.1 Host: acshopping.test Referer: http://acshopping.test/ Cookie: ASP.NET_SessionId=idtbjidawiwgmwrv02cwn54t; 


  41. !  「掲瀺期間」倖のニュヌスを閲芧できたす。 怜査員 ニュヌスIDに該圓するニュヌスオブゞェクトの掲瀺期間項目の範囲 内にシステム日付が該圓するこずをチェックしたす。 ニュヌスの䞀芧衚瀺結果をサヌバ偎のセッションで蚘憶しおおき、 その䞭から「詳现衚瀺」する方法もありたす。

  42. !  フォヌラム投皿衚瀺機胜では、削陀枈みの投皿は衚瀺され たせん。 ◊  管理者は䞍適切な投皿を削陀したす。 http://acshopping.test/boards/topic/5 http://acshopping.test/boards/topic/1 クリック!!

  43. !  攻撃者は、フォヌラム投皿IDを改ざんしたす。 ◊  事前にフォヌラム投皿IDを知っおいる必芁がありたす。 GET http://acshopping.test/boards/topic/5 HTTP/1.1 Host: acshopping.test Referer:

    http://acshopping.test/customer/orders Cookie: ASP.NET_SessionId=o0ijy1o5hky4yeta033s0i3w;
 HTTPリク゚スト GET http://acshopping.test/boards/topic/4 HTTP/1.1 Host: acshopping.test Referer: http://acshopping.test/customer/orders Cookie: ASP.NET_SessionId=o0ijy1o5hky4yeta033s0i3w;


  44. !  削陀枈みの投皿が衚瀺されたす。 怜査員 フォヌラム投皿IDに該圓するオブゞェクトの状態項目が「有効」であ るこずをチェックしたす。 フォヌラム投皿の䞀芧衚瀺結果をサヌバ偎のセッションで蚘憶しお おき、その䞭から「詳现衚瀺」する方法もありたす。

  45. !  マルチテナント方匏の販売管理システムでは、各テナントの管 理者ナヌザヌがリストに衚瀺された自瀟の店舗を遞択した堎 合、その店舗の売䞊情報を衚瀺したす。 クリック!!

  46. !  攻撃者は、リク゚ストに含たれる店舗IDを改ざんしたす。 ◊  他瀟の店舗IDを事前に知っおいる必芁がありたす。 HTTPリク゚スト POST http://acshopping.test/Admin HTTP/1.1 Host: acshopping.test

    Content-Type: application/x-www-form-urlencoded Content-Length: 17 Cookie: ASP.NET_SessionId=o0ijy1o5hky4yeta033s0i3w;
 shopId=C0050S0001 POST http://acshopping.test/Admin HTTP/1.1 Host: acshopping.test Content-Type: application/x-www-form-urlencoded Content-Length: 17 Cookie: ASP.NET_SessionId=o0ijy1o5hky4yeta033s0i3w;
 shopId=C0121S0002 HTML゜ヌスに蚘述された自瀟店舗䞀芧 <select> <option value="C0121S0001">Tokyo</option> <option value="C0121S0002">Osaka</option> <option value="C0121S0003">London</option> <option value="C0121S0004">Paris</option> <option value="C0121S0005">NewYork</option> </select>

  47. !  他瀟の店舗売䞊が衚瀺されたす。 怜査員 店舗IDに該圓する店舗オブゞェクトがログむンしおいるナヌザヌの テナント配䞋の店舗であるこずをチェックしたす。 事䟋5.はオブゞェクトIDで該圓のオブゞェクトを参照しおいたすが、 こちらは店舗IDで店舗に玐づく売䞊の集蚈を参照しおいたす。

  48. !  コンテンツをアップロヌドするず、Webサヌバのホヌム ディレクトリ配䞋に静的に栌玍したす。 http://acshopping.test/images/iphone.jpg

  49. !  アクセス制埡ポリシヌに埓い、衚面䞊は衚瀺/非衚瀺が切り 替わりたす。 管理システムでのアクセス制埡蚭定

  50. !  アクセス制埡ポリシヌに埓い、衚面䞊は衚瀺/非衚瀺が切り 替わりたす。 管理システムでのアクセス制埡蚭定

  51. !  攻撃者は、コンテンツのURLを盎接指定したす。 ◊  事前にコンテンツのURLを知っおいる必芁がありたす。 GET http://acshopping.test/images/iphone.jpg HTTP/1.1 Host: acshopping.test Connection:

    keep-alive Cache-Control: max-age=0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9 ,image/webp,*/*;q=0.8 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit /537.36 (KHTML, like Gecko) Chrome/32.0.1700.107 Safari/537 .36 Accept-Encoding: gzip,deflate,sdch Accept-Language: ja,en-US;q=0.8,en;q=0.6 Pragma: no-cache HTTPリク゚スト

  52. !  コンテンツをダりンロヌドできたす。 怜査員 動的ペヌゞを介しおアクセス制埡をチェックし、 コンテンツをダりンロヌドしたす。 Webサヌバのホヌムディレクトリ倖にコンテンツを 栌玍したす。

  53. !  ログむン成功時に「クッキヌ」に「暩限レベル」を蚭定しおおり、 党おのリク゚ストにお枡された「暩限レベル」の倀をサヌバヌ 偎でチェックしおいたす。

  54. !  攻撃者は、「クッキヌ」で枡される「暩限レベル」の倀を改ざん したす。 ◊  「暩限レベル」 = { 0: 䞀般ナヌザヌ、9: 管理者ナヌザヌ

    } GET http://acshopping.test/ HTTP/1.1 Host: acshopping.test Referer: http://acshopping.test/ Cookie: ASP.NET_SessionId=riy0n2ir3vm410abeuu3cael; aclv=0
 HTTPリク゚スト GET http://acshopping.test/ HTTP/1.1 Host: acshopping.test Referer: http://acshopping.test/ Cookie: ASP.NET_SessionId=riy0n2ir3vm410abeuu3cael; aclv=9


  55. !  管理者ナヌザヌずしお画面を操䜜するこずができたす。 怜査員 ブラりザから枡される「制埡パラメヌタ」は改ざんされる恐れがありたす。 セッション管理を行い、サヌバ偎で保持するのが原則です。 「制埡パラメヌタ」ずは、アクセス制埡の刀定条件ずしお盎接評䟡される パラメヌタです。 ・暩限レベル ・ログむン枈みフラグ

  56. !  デヌタ項目「レヌティング」は参照のみ、曎新䞍可です。 線集䞍可        クリック!!

  57. !  攻撃者は、曎新凊理のリク゚ストを改ざんしたす。 POST http://acshopping.test/Admin/ProductReview/Edit/2 HTTP/1.1 Host: acshopping.test Cookie: ASP.NET_SessionId=0diwftbjzf5sxlhs20td3yzm; ...

    save=save-continue&Id=2&Title=%E3%81
%80%82&IsApproved=true HTTPリク゚スト POST http://acshopping.test/Admin/ProductReview/Edit/2 HTTP/1.1 Host: acshopping.test Cookie: ASP.NET_SessionId=0diwftbjzf5sxlhs20td3yzm; ... save=save-continue&Id=2&Title=%E3%81
%80%82&IsApproved=true &Rating=1

  58. !  デヌタ項目「レヌティング」が曎新されたす。 怜査員 デヌタ項目レベルのアクセス制埡にも泚意する必芁がありたす。 ・参照すべきでないデヌタ項目をレスポンスしないこず  「画面に衚瀺しない」だけではダメ!! ・曎新すべきでないデヌタ項目がリク゚ストに枡されおも  曎新しないこず 開発者 でも、この事䟋そんなに怖くないのでは???

    今たでの䞭にもさほど怖くないものもあったような・・・ 怜査員 ですよね。 アクセス制埡がないのは確かですが、そもそも必芁か どうかを明確に定矩しなければ刀断できたせん。 ずころで、アクセス制埡の定矩曞はございたすか?

  59. !  リダむレクトを甚いた画面遷移を行う方匏のシステムにお、オ ブゞェクトIDを改ざんしたずころ、アクセス制埡のチェックで NGずなり゚ラヌ画面にリダむレクトされたす。

  60. HTTPリク゚スト GET http://acshopping.test/orderdetails/3 HTTP/1.1 Host: acshopping.test Referer: http://acshopping.test/customer/orders Cookie: ASP.NET_SessionId=o0ijy1o5hky4yeta033s0i3w;


    HTTP/1.1 301 Moved Permanently Content-Type: text/html; charset=UTF-8 Location: http://acshopping.test/error_accessdenied Server: Microsoft-IIS/7.5 Content-Length: 0 HTTPレスポンス HTTPリク゚スト GET http://acshopping.test/error_accessdenied HTTP/1.1 Host: acshopping.test Referer: http://acshopping.test/customer/orderdetails/3 Cookie: ASP.NET_SessionId=o0ijy1o5hky4yeta033s0i3w;


  61. !  アクセス制埡チェックの結果を元にリダむレクトしたす。 チェックOKなら通垞の画面に リダむレクトしたす。 チェックNGなら゚ラヌ画面 にリダむレクトしたす。

  62. !  アクセス制埡のチェックがNGの時に、セッションに保持したオ ブゞェクトを砎棄しおいたせん。 賌入履歎が砎棄されない。

  63. !  攻撃者は、リダむレクト先のURLを「゚ラヌ画面」から‚ 「通垞の画面」に改ざんしたす。 改ざん

  64. !  チェックNGずなったはずのオブゞェクトが通垞の画面に衚瀺‚ されたした。 怜査員 アクセス制埡のチェックNG時の゚ラヌ凊理では、凊理党䜓をロヌル バックしたす。䞀時的にセッションに保持したデヌタをクリアしたす。

  65. None

  66. [システム蚭蚈実装テスト工皋] !  ブラりザ偎のアクセス制埡には頌らないこず !  ブラりザ偎の制埡はナヌザビリティ向䞊が目的だず認識する。 !  党おのリク゚ストにおサヌバ偎でアクセスの可吊を刀定‚ するこず !  「A4

    –安党でないオブゞェクト盎接参照」 !  「A7 – 機胜レベルアクセス制埡の欠萜」 !  制埡パラメヌタをブラりザから枡さないこず !  セッション管理を行い、サヌバ偎で保持するこず !  デヌタ項目の参照・曎新制埡に泚意するこず !  アクセス制埡゚ラヌ時の凊理に泚意するこず

  67. [システム蚭蚈工皋] !  埓来のC/SアプリずWebアプリは違うず認識するこず ◊  ブラりザからやっおくるリク゚ストは信甚できない。 ◊  HTTPはオヌプンなプロトコル、HTML、CSS、JavaScriptは解析可胜 !  フレヌムワヌクに隠蔜されたHTTPを意識するこず ◊ 

    党おのHTTPリク゚ストでアクセス制埡できおいるのが望たしい。 [芁件定矩システム分析工皋] !  アクセス制埡を挏れ抜けなく掗い出し、誀りなく定矩するこず ◊  あるべき仕様が定矩されなければ、あるべき実装は期埅できない。 ◊  定矩されおいなければ、怜査時にも刀断が぀かない堎合がある。
  68. None

  69. !  コンタクト先 ◊  twitter @hagurese ◊  お気に入りにセキュリティ‚ ツむヌトをたずめおたす。 ◊  お気軜にDMしおください。