teratail
回答率
85.48%
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.48%
トップSecurity+に関する質問
Security+

Security+は、IT業界団体であるCompTIA認定の資格の一つです。ネットワークセキュリティやコンプライアンスと運用セキュリティといったセキュリティ分野における知識・技術の証明になり、セキュリティインシデントに対応するための知識も評価されます。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

Q&A

解決済

2回答

1701閲覧

ファイル名総当たりチェックの攻撃手法の名称

tesopgmh
tesopgmh

総合スコア146

Security+

Security+は、IT業界団体であるCompTIA認定の資格の一つです。ネットワークセキュリティやコンプライアンスと運用セキュリティといったセキュリティ分野における知識・技術の証明になり、セキュリティインシデントに対応するための知識も評価されます。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

0グッド

3クリップ

投稿2021/04/19 00:39

0

3

お世話になります

WEBには様々な攻撃手法が存在しそれに対して名称が付いています
SQLインジェクションやポートスキャンなどは有名ですが
以下のような攻撃手法に名前は付いていますでしょうか?
詳しい方お教えいただければ幸いです

WEBサーバに対して存在しそうな「ファイル名」を総当たりでチェックする攻撃手法

(例)info.php admin.php admin/ eval.php ...

これも広義のブルートフォースになるのでしょうか
「ブルートフォース ファイル」「ファイル スキャン 攻撃手法」
などでググりましたが目的の情報は出てきませんでした

どうぞよろしくお願いいたします

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

ベストアンサー

そのような攻撃は、伝統的に「強制ブラウジング(Forced browsing) 」と呼ばれます。強制ブラウジングって変な名前ですが、リンクなどを辿らずにアドレスバーに直接URLを指定することです。
強制ブラウジング自体は通常のブラウザ操作なので、それができること自体は脆弱性ではありませんが、認可制御不備や、機微情報が公開されている(例: 未実施の国家試験問題の公開例があります)ことと組み合わせて問題になります。

OWASPのForced Browsingの解説では、下記のようにブルートフォース手法と組み合わせる場合についても言及されています。

An attacker can use Brute Force techniques to search for unlinked contents in the domain directory, such as temporary directories and files, and old backup and configuration files.
(拙訳)攻撃者は、ドメインディレクトリ内のリンクされていないコンテンツ、例えば一時的なディレクトリやファイル、古いバックアップ、設定ファイルなどを探索するためにブルートフォース手法を用いることができます。
https://owasp.org/www-community/attacks/Forced_browsing より引用

投稿2021/04/19 03:46

ockeghem
ockeghem

総合スコア11701

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

tesopgmh
tesopgmh

2021/04/19 05:23

「強制ブラウジング」とても勉強になりました やはり名前が付いていたのですね、ありがとうございます!
退会済みユーザー

退会済みユーザー

2021/04/19 05:50

名前付いてたんですね。知らなかったです。
guest

0

昔自宅サーバーをおいていたときにpmaを無差別にスキャンする
攻撃は受けたことありますがそれって攻撃といえるのかは微妙ですね。
参照可能な場所においたファイ名を探されること自体とくに
おかしなこととはいえません。

投稿2021/04/19 01:05

yambejp
yambejp

総合スコア114839

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

tesopgmh
tesopgmh

2021/04/19 02:24

ありがとうございます! >参照可能な場所においたファイ名を探されること自体とくに >おかしなこととはいえません。 ここはとても興味深い議論ですね 私は「スキャン」は本来与えられている権限以上の情報の閲覧又は利用だと思います
maisumakun
maisumakun

2021/04/19 03:02

> 私は「スキャン」は本来与えられている権限以上の情報の閲覧又は利用だと思います あくまで「来与えられている権限以上の情報の閲覧又は利用」のための手がかりを探っているだけで、(WAFなど何かしらの対策を施したのでなければ)「スキャンすること」そのものは誰にでも可能なことですし、それ自体が(サーバに負荷を与える以外の)悪影響は及ぼさないものです。
tesopgmh
tesopgmh

2021/04/19 05:13

maisumakunさま 議論にのって下さりありがとうございます >あくまで「本来与えられている権限以上の情報の閲覧又は利用」のための手がかりを探っているだけで 「スキャン」行為で得られる結果のすべてが「手がかり」である、というのは間違いだと思います 例えば「21年」「2021年」「期末」「試験」...などの辞書を用意して 21年期末試験.doc 2021年期末試験.doc 21年期末.doc 期末試験21年.doc... などとスキャンして、仮に情報の取得に成功したとして 「試験情報の閲覧をする気はなかった、スキャンは誰でもできるのでこの行為は適法である」 という主張が通るのかどうか疑問です
maisumakun
maisumakun

2021/04/19 05:26

スキャンする側が悪くないとは言いませんが、誰でも見られるところにファイルを置いている方が悪いです。
yambejp
yambejp

2021/04/19 05:33 編集

そうですね 見えるところにおいておいて「見たな?」は無いですよね。 NHKみたいな悪質さを感じます。 わたしの場合は、バーチャルホストでサブドメインをつくって メンテナンス用のプログラムを置いたりしていました ファイルを探すのはサーバー側の負荷になりますが ドメインを探されるのはDNS側の課題ですしね
tesopgmh
tesopgmh

2021/04/19 05:41

yambejpさまの主張するNHK(ちょっと笑いました)の例えに関しては ホームページ上にハイパーリンクでリンクされている場合だと思います ハイパーリンクでリンクされているものを見て「みたな」と言うんだったらそれはNHKです 強制ブラウジング(というらしいです)で認可制御不備、機微情報を閲覧したのであれば 本来与えられている権限以上の情報の閲覧又は利用になると思います
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップSecurity+に関する質問

ファイル名総当たりチェックの攻撃手法の名称