ASP.NET Core では、[Authorize] 属性をクラスまたはメソッドに追加することにより、アプリケーション アクションで認証を要求するようにできます。さらに、[AllowAnonymous] 属性を追加することで、アプリケーション クラスまたはメソッドの指定された認証要件をバイパスできます。両方を指定すると、[AllowAnonymous] 属性が優先され、[Authorize] 属性はバイパスされます。これにより、攻撃者が、機密データやアクションに対して無作為で匿名のアクセスを行う可能性があります。

例 1: 次の例は、クラス レベルの [AllowAnonymous] 属性が、メソッドに設定された [Authorize] 属性をオーバーライドしていることを示しています。[Authorize] 属性があるにもかかわらず、secretAction() メソッドは認証を要求しません。

...
[AllowAnonymous]
public class Authorization_Test
{
    [Authorize]
    public IActionResult secretAction()
    {
        
    }
}
...

例 2: 次の例は、スーパークラスのクラス レベルの [AllowAnonymous] 属性が、サブクラスのメソッドに設定された [Authorize] 属性をオーバーライドしていることを示しています。継承されたクラス Inherit_AA に [AllowAnonymous] 属性があるため、secretAction() メソッドは、[Authorize] 属性を指定していても認証を要求しません。

...
[AllowAnonymous]
public abstract class Inherit_AA
{
    
}

public class Authorization_Test:Inherit_AA
{
    [Authorize]
    public IActionResult secretAction()
    {
        
    }
}
...

例 3: 以下は、[AllowAnonymous] 属性が、継承を使用して、メソッド レベルで [Authorize] 属性をオーバーライドしていることを示しています。継承されたクラス secretAction() に [AllowAnonymous] 属性があるため、secretAction() メソッドは、オーバーライドするメソッドで [Authorize] 属性を指定していても認証を要求しません。

...
public abstract class Inherit_AA
{
    [AllowAnonymous]
    public abstract IActionResult secretAction()
    {
        
    }
}

public class Authorization_Test:Inherit_AA
{
    [Authorize]
    public override IActionResult secretAction()
    {
        
    }
}
...

Access Control の脆弱性は、攻撃者が、承認されたユーザーに限定されたリソースにアクセスできる場合に発生します。

SObjects および SObject フィールドが使用されている場合、Visualforce アプリケーションはデフォルトでオブジェクトレベルのセキュリティ (CRUD) およびフィールドレベルのセキュリティ (FLS) を自動的に適用します。ただし、オブジェクトおよびフィールドが汎用データ タイプとして参照されている場合、これらのメカニズムは適用されず、Access Control チェックをプログラムで実装する必要があります。

例 1: 次のコード例では、カスタム setter メソッドを使用してフィールドが更新されるため、認証チェックが必要になります。

<apex:page controller="accessControl">
  <apex:pageBlock >
    <apex:pageBlockSection >
      <apex:outputText value="Survey Name: "/>
      <apex:inputText value="{!surveyName}"/>
      </apex:pageBlockSection>
    <apex:pageBlockSection >
      <apex:outputText value="New Name: "/>
      <apex:inputText value="{!newSurveyName}"/>
    </apex:pageBlockSection>
      <apex:pageBlockSection >
      <apex:commandButton value="Update" action="{!updateName}"/>
    </apex:pageBlockSection>
  </apex:pageBlock>
</apex:page>

public String surveyName { get; set; }
public String newSurveyName { get; set; }
public PageReference updateName() {
  Survey__c s = [SELECT Name FROM Survey__c WHERE Name=:surveyName];

  s.Name = newSurveyName;
  update s;

  PageReference page = ApexPages.currentPage();            
  page.setRedirect(true);
  return page;
}

アプリケーションによって、攻撃者は AWS S3 バケットまたはオブジェクトに付与された権限を制御できるようになります。これによって、攻撃者はコンテンツの読み取りや任意のファイルの書き込みを可能にするような脆弱なポリシーを設定することができます。

例 1: 次のコードは、ユーザーによって指定された Access Control Policy を使用して新しいバケットを作成します。

    String canned_acl = request.getParameter("acl");

    CreateBucketRequest createBucketRequest = CreateBucketRequest.builder()
        .bucket("foo")
        .acl(canned_acl)
        .createBucketConfiguration(CreateBucketConfiguration.builder().locationConstraint(region.id()).build())
        .build();

アプリケーションが acl パラメーターが限定されたセットから選択されることを期待している場合でも、攻撃者はそれを public-read-write に設定し、バケットへの完全な匿名アクセス権を付与することができます。

データベースの Access Control エラーが発生するのは次の場合です。

1. 信頼できないソースからデータがプログラムに入り込んだ場合。


2. データは、SimpleDB アクセスコールで項目名を指定するために使用されます。
例 1: 次のコードは、トランザクションの日付を基準に命名される領収書のデータベースに対して操作を実行します。このプログラムは最初に顧客を認証して、次に、前のリストから領収書を選択させています。

...
String selectedInvoice = request.getParameter("invoiceDate");
...
AmazonSimpleDBClient sdbc = new AmazonSimpleDBClient(appAWSCredentials);
GetAttributesResult sdbResult = sdbc.getAttributes(new GetAttributesRequest("invoices", selectedInvoice));
...

Example 1 のコードは、現在のユーザーに属する領収書のリストを生成しますが、攻撃者はこの動作を回避して希望する任意の領収書をリクエストすることができます。この例のコードの場合、リクエストされた領収書へのアクセス権限をユーザーが確保しているか確認しないため、現在のユーザーに帰属していなくても、リクエストされたとおりの領収書を表示します。

Access Control エラーは次の場合に SQLite クエリで発生します。

1. 信頼できないソースからデータがプログラムに入り込んだ場合。


2. SQLite クエリで主キーの値を特定するためにデータが使用されている場合。
例 1: 次のコードは、メタ文字をエスケープして Query String Injection の脆弱性を阻止するパラメーター化されたステートメントを使用して、ユーザーが指定した識別子と一致する領収書を検索する SQLite クエリを作成し、実行します。

  ...
  id = this.getIntent().getExtras().getInt("id");
  cursor = db.query(Uri.parse(invoices), columns, "id = ? ", {id}, null, null, null);
  ...
  

問題は、開発者が id に可能なすべての値を検討しきれていないことです。現在のユーザーに属する領収書 ID のリストがクエリにより生成されますが、攻撃者はこの動作を回避して希望する任意の領収書をリクエストすることができます。この例のコードの場合、リクエストされた領収書へのアクセス権限がユーザーにあるか確認しないため、現在のユーザー以外のものも含め、リクエスト通りに領収書を表示します。

匿名バインドの元で、LDAP クエリを実行すると、事実上 Authentication が行われてなくても、攻撃者は脆弱な設定となっている LDAP 環境を侵害できます。

例 1: 次のコードは、匿名バインドを使用して、DirContext ctx を作成します。

...
env.put(Context.SECURITY_AUTHENTICATION, "none");
DirContext ctx = new InitialDirContext(env);
...

ctx に対するすべての LDAP クエリは、Authentication および Access Control なしで実行されます。攻撃者は予期しない方法でこれらのクエリのいずれかを操作して、ディレクトリの Access Control メカニズムにより保護されている可能性があるレコードにアクセスする可能性があります。

Access Control: Authorization Bypass の問題は、次の場合に発生します。

1. 信頼できないソースを経由してデータがプログラムに入り込んだ場合。

2.ユーザー制御のデータがパラメーターとしてメソッドに渡され、それが原因でメソッドによる内部の認証チェックがスキップされる場合。
例 1: 次のコードは、従業員データをフェッチするメソッドにユーザー制御のインジケーターを提供します。

    ...
	PARAMETERS: p_xfeld TYPE xfeld.
    ...
CALL FUNCTION 'BAPI_EMPLOYEE_GETDATA'
  EXPORTING
    employee_id      = emp_id
    authority_check  = p_xfeld
  IMPORTING
    return           = ret
  TABLES
    org_assignment   = org_data
    personal_data    = pers_data
    internal_control = con_data
    communication    = comm_data
    archivelink      = arlink. 
    ...

攻撃者がパラメーター p_xfeld に空白を指定した場合、従業員の個人情報や連絡先情報を返す前に、認証チェックは実行されません。