WEB脆弱性のアクセス制御や認可制御の欠落とは
◆アクセス制御の欠落と対策
アクセス制御の欠落とは、ログインが必要なサイトでは、ログイン情報によりアクセス制御を掛けますが、たとえば、そのログイン情報がメールアドレスだった場合は、他人にも知られ得る情報であり、そのような情報の入力だけでログインできてしまうのは、アクセス制御機能が欠落していると言えます。
アクセス制御の対策は、他人にも知られ得る情報でなく、パスワードなどの入力を必要とするように、Webアプリケーションを設計する必要があります。
◆認可制御の欠落と対策
認可制御の欠落とは、上記の「アクセス制御の欠落」をなくして、ログインを実装しても、ログイン者が他のログイン者の情報(データベース)にアクセスできてしまうことがあります。このような実装は、認可制御機能が欠落していると言えます。
認可制御の対策は、ログイン者がアクセスできる情報(データベース)の範囲をつねに考慮するように、Webアプリケーションを設計する必要があります。
また、本記事は、以下URL先を大変参考にさせて頂きました。問題があればコメント欄でご指摘ください。
