Webアプリに詳しいニキ〜
多数のユーザーが個人のパスワードでログインするようなWebサービスで、送信しているリクエスト先のURLやパラメータを解析すれば、バックエンド側がしょぼい設計の場合、他人のデータを覗き見たり勝手に更新したりできると思うんだけど、その脆弱性や攻撃手法に名前ある?
この脆弱性、フレームワークにおまかせでは防げないし、ドメインロジックに関わることだから、結構ありそうな気がするんだけど。
@kussy_tessy 認可制御の不備ですね。
@rdh27785 「ブルートフォースアタック」とか「XSS」みたいなかっこいい(?)名前はないんですね。FWに任せておけばOKとはいかない脆弱性なので、そこを突く攻撃って結構ベタなんじゃないかなあと思ったのですが。
@kussy_tessy 攻撃だとパラメータ改ざんなんだと思うんですが、パラメータは認可制御以外にも使われることがあるのでドンピシャなものはないんじゃないかとも。
様々な目的に使える、日本の汎用マストドンサーバーです。安定した利用環境と、多数の独自機能を提供しています。
@kussy_tessy 攻撃だとパラメータ改ざんなんだと思うんですが、パラメータは認可制御以外にも使われることがあるのでドンピシャなものはないんじゃないかとも。