OWASP Top 10 攻撃シナリオまとめ

2022年7月14日 11:50

OWASP Top 10:2021

シナリオ #1: アプリケーションが、アカウント情報にアクセスするSQL呼出しに未検証のデータを使用しています。

 pstmt.setString(1, request.getParameter("acct"));
 ResultSet results = pstmt.executeQuery( );

攻撃者は、単にブラウザでパラメータ'acct'を任意のアカウント番号に改変して送信します。適切な検証がない場合、攻撃者は任意のアカウントにアクセスできます。

 https://example.com/app/accountInfo?acct=notmyacct

シナリオ #2: ある攻撃者は、ブラウザでURLを指定してアクセスします。管理者ページにアクセスするには管理者権限が必要です。

 https://example.com/app/getappInfo
 https://example.com/app/admin_getappInfo

認証されていないユーザがこれらのページにアクセスすることができるなら、欠陥があります。管理者でない人が管理者のページにアクセスできるなら、それも欠陥です。

よろしければサポートお願いします。いただいたサポートは、書籍等の購入に充てさせていただきます。