アクセス制御の不備 (権限の昇格)

異なるユーザー権限で実行されたセッションのスキャン結果を比較して、特権ユーザー用に予約されたリソースが特権ユーザー以外のユーザーにアクセスできるかどうかを判断します。これにより、アクセス制御の不備、特に、権限の低いユーザーが保護されたデータや機能にアクセスできるようになる、権限の昇格を特定できます。

このタスクについて


アクセス制御の不備または権限の昇格の図
AppScan は、アクセス許可が不十分なユーザーがアクセス可能な特権リソースの範囲を調査するために、異なるユーザー権限を使用して実行されたスキャンを参照できます。これは以下の 2 とおりの方法で実行できます。
  • 異なる権限レベルを持つユーザーとの比較: AppScan が現在のスキャンと異なるレベルのアクセス許可を使用して生成されたスキャン結果を参照するようにします。スキャン中に、AppScan は現在のレベルのアクセス許可を使用して、異なるレベルのユーザーに対してアクセス可能とされた他のリンクにアクセスしようとします。スキャン結果は、これらの試行が成功した箇所を示します。
  • 未認証ユーザーとの比較によって: AppScan がユーザー認証なしで生成されたスキャン結果を参照するようにします。次いで AppScan は、現在の認証を使用してスキャンを実行し、アクセスした新規リンクを記録します。それからログアウトし、それらの新規リンクに認証なしで アクセスを試みます。スキャン結果は、これらの試行が成功した箇所を示します。
重要:
比較対象となるスキャンは、スキャン構成が同じであり、同等の探査データを持っている必要があります。例えば、スキャンの 1 つにおいてテスト前にサイトが手動で探査された場合は、そのスキャンと比較されるスキャンでテスト・ステージの前に 同じ マニュアル探査を実行する必要があります。

手順

  1. 異なる権限のユーザーと比較する場合: 「特権ユーザー」のセクションで、「+ 追加」をクリックし、現在のスキャンと異なるアクセス許可で実行されたスキャンを参照します。
  2. 「開く」をクリックします。
  3. スキャンで使用された認証レベルを表す名前 (例えば「ゲスト」や「管理者」) を入力し、「保存」をクリックします。
    選択されたスキャンはリストに追加され、その役割 (管理者、オペレーター、ビジターなど) は役割の列に表示されます。
  4. 必要に応じて、これらのステップを繰り返して、異なる認証レベルのスキャンを追加します。
    注:
    特権ユーザーによるテストに対しては複数のスキャンを、各役割に対しては 1 つのスキャンを追加できます。例えば、現在のスキャンが通常ユーザーのユーザー名とパスワードを使用して構成されている場合、管理者許可で実行されたものと、スーパーバイザー許可で実行されたものという、2 つのスキャンをこのリストに追加できます。結果により、どのユーザーのリソースが通常ユーザーにアクセス可能であったかが分かります。
  5. 未認証ユーザーと比較する場合: オプションで、認証なし のスキャン実行の結果をロードすることもできます。これを実行するには、「認証されていないユーザー」のセクションで「参照」ボタンをクリックし、スキャン結果を参照します。
  6. 関連するスキャンを追加して比較した後 (すべてのスキャンに同じ Explore データが必要)、トップ・メニュー・バーから「スキャン」 > 「テストのみ」を選択します。スキャン結果から、特権リソースに非特権ユーザーがアクセスできるかどうかを確認します。