強制ブラウズ 【forced browsing】 forceful browsing / 強制的ブラウジング

概要

強制ブラウズ（forced browsing）とは、アクセス制御が不十分なWebサイトやWebアプリケーションへの攻撃手法の一つで、公開されたページからリンクされていないファイルやディレクトリなどに直にアクセスすること。

一般的なWeb閲覧ではWebブラウザに表示されたリンクをたどって他のページに移動するが、強制ブラウズではブラウザのURL（アドレス）欄に直に文字を入力したり、コマンドラインツールなどでURLを指定してアクセスすることにより、サーバ内の公開されていない領域にあるファイルやディレクトリを表示させる。

どのような被害が生じるかはシステムの種類や構成によるが、本来は管理者しか使用できない管理メニューを操作したり、制作側が内部的に作成、共有しているデータを不正に取得したり、ページの内容を改竄できる場合がある。システムについての内部情報が取得され、不正アクセスの手掛かりとなってしまうなど二次的な被害が生じることもある。

URLの割り出しは、公開ページのファイル名部分を取り除いてディレクトリへのアクセスを試みたり（ディレクトリリスティング）、コンテンツマネジメントシステム（CMS）などが用意している管理メニュー用のディレクトリ名などから推測する手法などが用いられる。認証を回避するため、Cookieの内容を改竄したり、ユーザー名などを含む特殊なURLを細工する手法が用いられることもある。

この記事の著者 ： (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。