令和4年免除試験問題 問36
問36解説へ
オープンリダイレクトを悪用した攻撃に該当するものはどれか。
- HTMLメールのリンクを悪用し,HTMLメールに,正規のWebサイトとは異なる偽のWebサイトのURLをリンク先に指定し,利用者がリンクをクリックすることによって,偽のWebサイトに誘導する。
- Webサイトにアクセスすると自動的に他のWebサイトに遷移する機能を悪用し,攻撃者が指定した偽のWebサイトに誘導する。
- インターネット上の不特定多数のホストからDNSリクエストを受け付けて応答するDNSキャッシュサーバを悪用し,攻撃対象のWebサーバに大量のDNSのレスポンスを送り付け,リソースを枯渇させる。
- 設定の不備によって,正規の利用者以外からの電子メールやWebサイトへのアクセス要求を受け付けるプロキシを悪用し,送信元を偽った迷惑メールの送信を行う。
広告
解説
オープンリダイレクトは、URLパラメータやフォームデータなどの入力情報をもとに利用者を特定のWebページに遷移させるWebアプリケーションにおいて、任意のページにリダイレクトできてしまう脆弱性です。
Webアプリケーションでは、ある処理を行った後に利用者を特定のWebページに遷移させるケースがあり、遷移先のURLをパラメータとして受け取るものがあります。このURLを無制限に受け入れている場合、入力パラメータを細工することで利用者を任意のURLにリダイレクトさせることが可能となります。この脆弱性を攻撃者が悪用することで、利用者は気付かないうちに信頼できるWebサイトから悪意のあるWebサイトに誘導されてしまい、誘導した先でフィッシングなどの被害に遭う危険があります。オープンリダイレクトの脆弱性に対しては、リダイレクト先のドメインやページを限定することが根本的な対策となります。
Webアプリケーションでは、ある処理を行った後に利用者を特定のWebページに遷移させるケースがあり、遷移先のURLをパラメータとして受け取るものがあります。このURLを無制限に受け入れている場合、入力パラメータを細工することで利用者を任意のURLにリダイレクトさせることが可能となります。この脆弱性を攻撃者が悪用することで、利用者は気付かないうちに信頼できるWebサイトから悪意のあるWebサイトに誘導されてしまい、誘導した先でフィッシングなどの被害に遭う危険があります。オープンリダイレクトの脆弱性に対しては、リダイレクト先のドメインやページを限定することが根本的な対策となります。
// オープンリダイレクト脆弱性の例
https://example.com/redirect?url=https://attacker.com/
https://example.com/redirect?url=https://attacker.com/
- 標的型攻撃メールやフィッシングの例です。
HTMLでは、表示上のURLと実際のリンク先URLを異なるものにすることができるのを悪用した攻撃です。
例)https://www.fe-siken.com/ は、当サイトのトップページのURLですがITパスポート試験ドットコムに遷移します。 - 正しい。オープンリダイレクトを利用した攻撃です。
- DNSアンプ攻撃(DNSリフレクタ攻撃)です。
- 踏み台攻撃の説明です。
広告