強制ブラウジング

強制ブラウジングとは、Webページにアクセスする際に、公開されたページからリンクをたどるのではなく、アドレスバーに直接URLを入力することで、Webサイト側では公開するつもりのないディレクトリやファイル等へのアクセスを試みる、という攻撃です。非公開のディレクトリやファイルのパスを調べる方法としては、以下の方法があります。

• ディレクトリ リスティング
  Webサーバのディレクトリ インデックス機能が有効に設定されている場合、Webサーバの特定のディレクトリをURLとして指定することで、そのディレクトリ内のファイルがリスト表示されます。ここに非公開情報のファイルが存在する場合には、簡単にその名前を調べることが可能になります。
   
• HTMLファイル内のコメント
  HTML内にコメントが書かれている場合には、その内容から非公開ファイルのパスが判明することがあります。
   
• URLの推測
  ディレクトリ リスティングやHTMLファイルのコメントを見ることで、そのサイトの命名ルールを推測できる場合があります。これに基づき、他のディレクトリにある非公開情報のファイル名を推測することも可能になります
   

強制ブラウジングを防止するには、ディレクトリ リスティング機能を無効にする（Apacheの場合には「http.conf」の「Indexesオプション」を削除する）、公開するHTMLファイルのコメントを削除する、Webアプリケーションがアクセスできる範囲を限定する、等の対応が必要です。なおこのような攻撃は、Webアプリケーション ファイアウォール（WAF）の活用で防御しやすくなります。F5はWAF機能を実装した製品として「F5 BIG-IP」を提供しています。