Forceful Browsing


cookieを改ざんしたり読み出すことができるような細工と組み合わせることで、Webサーバー・ディレクトリの制限された部分へのアクセスを試み、サーバーの内部情報やIDなどを取得しようとするブラウジング攻撃の総称。ユーザーがWebサーバーの権限のないファイルにアクセスするのを防ぐためにWebサーバーは「ルートディレクトリ」と「アクセス制御リスト」の2つの主なセキュリティメカニズムを提供している。「ルートディレクトリ」はWebサーバのーファイルシステムの中でユーザーのアクセスを特定のディレクトリに制限し、ユーザーにとって、「ルートディレクトリ」に置かれたすべてのファイルとそのサブディレクトリはアクセス可能で、「アクセス制御リスト」を使用して、管理者は、ユーザーがファイルを見るか、または実行することができるかを決定することができる。例えば個人的な「/_private/customer.txt」というファイルを作ると、一般的にファイル「custumers.txt」は参照されないファイルになるが、攻撃者が直接「/_private/customer.txt」を指定し、アクセスすることによってURLを強制的に開かせ、「custumers.txt」を盗み見ることが可能になる。「Forceful Browsing」は最終的にサーバー攻撃を仕掛けることが多い。