強制ブラウズ【forced browsing】forceful browsing強制的ブラウジング

概要

一般的なWeb閲覧ではWebブラウザに表示されたリンクをたどって他のページに移動するが、強制ブラウズではブラウザのURL（アドレス）欄に直に文字を入力したり、コマンドラインツールなどでURLを指定してアクセスすることにより、サーバ内の公開されていない領域にあるファイルやディレクトリを表示させる。

どのような被害が生じるかはシステムの種類や構成によるが、本来は管理者しか使用できない管理メニューを操作したり、制作側が内部的に作成、共有しているデータを不正に取得したり、ページの内容を改竄できる場合がある。システムについての内部情報が取得され、不正アクセスの手掛かりとなってしまうなど二次的な被害が生じることもある。

URLの割り出しは、公開ページのファイル名部分を取り除いてディレクトリへのアクセスを試みたり（ディレクトリリスティング）、コンテンツマネジメントシステム（CMS）などが用意している管理メニュー用のディレクトリ名などから推測する手法などが用いられる。認証を回避するため、Cookieの内容を改竄したり、ユーザー名などを含む特殊なURLを細工する手法が用いられることもある。