強制ブラウジングとは何ですか?
強制ブラウジングは、Web サイトが公開するつもりのないディレクトリ、ファイル、またはその他のリソースを攻撃者がアクセスしようとするタイプのサイバー攻撃です。 攻撃者は、公開ページやリンクをたどるのではなく、ブラウザのアドレスバーに URL を直接入力して、サーバー上の隠しファイルやディレクトリを探します。 非公開パスを識別する一般的な方法は次のとおりです。
ディレクトリリスト
Web サーバーのディレクトリ インデックス機能が有効になっている場合は、ディレクトリの URL を指定すると、その中のファイルのリストが表示されます。 機密ファイルがこれらのディレクトリに存在する場合、攻撃者はその名前を簡単に特定できます。
HTMLファイルのコメント
HTML コード内に埋め込まれたコメントにより、非公開リソースへのパスが誤って公開される可能性があります。
URL推測
ディレクトリのリストや HTML コメントの情報を調べることで、攻撃者はサイトの命名規則を推測できる可能性があります。 これらのパターンを使用して、他のディレクトリ内の非公開ファイルの名前を推測できます。
強制ブラウジング攻撃を防ぐには:
さらに、Webapplicationファイアウォール (WAF) を実装すると、このような攻撃を効果的に軽減できます。 F5 は、強制ブラウジングやその他のサイバー脅威から保護するための強力な WAF 機能を統合したF5 BIG-IPを提供しています。