More Related Content
Similar to OWASP TOP10 A01:2021 – アクセス制御の不備 (20)
More from OWASP Nagoya (18)
OWASP TOP10 A01:2021 – アクセス制御の不備
- 2. 自己紹介
加藤 人生(かとう ひとみ)
・Mail hitomi.kato@owasp.org
・Facebook https://www.facebook.com/htmkatou
・Twitter https://twitter.com/wagtail_jp
ある会社の脆弱性診断サービスを提供する部門にて脆弱性診断の仕事をしています。
(主にプラットフォーム診断とツールを使ったWebアプリケーション診断をしています。)
念のため:今回の発表の内容はあくまでも個人の見解であり、私が所属する企業の見解ではあ
りません。あと、 FacebookとTwitterは、技術的な投稿より「推しごと」の投稿が多いです。
- 4. 1. A01:2021 – アクセス制御の不備について
「A01:2021 – アクセス制御の不備」は、OWASP Top 10:2021にて1位の
順位のものとして紹介されているものとなります。
概要に「アクセス制御の不備は、5位から順位を上げました。」とあ
ります。前回の2017版の頃より影響範囲が拡大したと思われます。
「94%のアプリケーションで、何らかの形でアクセス制御の不備が確
認されています。」とありますので、注意すべき内容と考えられます。
- 6. 1. A01:2021 – アクセス制御の不備について
「アクセス制御」と「その不備」については、説明に次の記載があり
ます。
• アクセス制御は、ユーザに対して予め与えられた権限から外れた
行動をしないようにポリシーを適用するものです。
• ポリシー適用の失敗により、許可されていない情報の公開、すべ
てのデータの変更または破壊、またはユーザ制限から外れたビジ
ネス機能の実行が引き起こされます。
- 12. 1. A01:2021 – アクセス制御の不備について
「防止方法」については、説明に次の記載があります。
• 攻撃者がアクセス制御のチェックやメタデータを変更することが
できず、信頼できるサーバーサイドのコードまたはサーバーレス
APIで実施される場合によってのみ、アクセス制御が機能するよう
にします。
攻撃者にアクセス制御のロジックを推測させたり、値を変更可能な作
りにしないことが大切。
- 19. 3.まとめ
• 「A01:2021 – アクセス制御の不備」については、 OWASP Top
10:2021において、 1位という順位に位置付けらせているものです。
• 攻撃シナリオの通り、パラメータを本来アクセス出来ない対象のID
に変更、またはアクセス出来ない対象のURLに強制的にアクセスす
るといったことで見つかるものとなります。
• 対策としては、攻撃者からアクセス制御に関わる内容が推測可能
な状況にせず、値の変更をさせない、または信頼できる値である
かのチェックを行うといった工夫が必要となります。
- 20. 3.まとめ
参考資料
• OWASP Proactive Controls: Enforce Access Controls
• OWASP Application Security Verification Standard: V4 Access Control
• OWASP Testing Guide: Authorization Testing
• OWASP Cheat Sheet: Access Control
• PortSwigger: Exploiting CORS misconfiguration
• OAuth: Revoking Access