ASP.NET Core では、[Authorize] 属性をクラスまたはメソッドに追加することにより、アプリケーション アクションで認証を要求するようにできます。さらに、[AllowAnonymous] 属性を追加することで、アプリケーション クラスまたはメソッドの指定された認証要件をバイパスできます。両方を指定すると、[AllowAnonymous] 属性が優先され、[Authorize] 属性はバイパスされます。これにより、攻撃者が、機密データやアクションに対して無作為で匿名のアクセスを行う可能性があります。

例 1: 次の例は、クラス レベルの [AllowAnonymous] 属性が、メソッドに設定された [Authorize] 属性をオーバーライドしていることを示しています。[Authorize] 属性があるにもかかわらず、secretAction() メソッドは認証を要求しません。

...
[AllowAnonymous]
public class Authorization_Test
{
    [Authorize]
    public IActionResult secretAction()
    {
        
    }
}
...

例 2: 次の例は、スーパークラスのクラス レベルの [AllowAnonymous] 属性が、サブクラスのメソッドに設定された [Authorize] 属性をオーバーライドしていることを示しています。継承されたクラス Inherit_AA に [AllowAnonymous] 属性があるため、secretAction() メソッドは、[Authorize] 属性を指定していても認証を要求しません。

...
[AllowAnonymous]
public abstract class Inherit_AA
{
    
}

public class Authorization_Test:Inherit_AA
{
    [Authorize]
    public IActionResult secretAction()
    {
        
    }
}
...

例 3: 以下は、[AllowAnonymous] 属性が、継承を使用して、メソッド レベルで [Authorize] 属性をオーバーライドしていることを示しています。継承されたクラス secretAction() に [AllowAnonymous] 属性があるため、secretAction() メソッドは、オーバーライドするメソッドで [Authorize] 属性を指定していても認証を要求しません。

...
public abstract class Inherit_AA
{
    [AllowAnonymous]
    public abstract IActionResult secretAction()
    {
        
    }
}

public class Authorization_Test:Inherit_AA
{
    [Authorize]
    public override IActionResult secretAction()
    {
        
    }
}
...

デバッグのみを目的とした API が使用されます。

Access Control の脆弱性は、攻撃者が、承認されたユーザーに限定されたリソースにアクセスできる場合に発生します。

SObjects および SObject フィールドが使用されている場合、Visualforce アプリケーションはデフォルトでオブジェクトレベルのセキュリティ (CRUD) およびフィールドレベルのセキュリティ (FLS) を自動的に適用します。ただし、オブジェクトおよびフィールドが汎用データ タイプとして参照されている場合、これらのメカニズムは適用されず、Access Control チェックをプログラムで実装する必要があります。

例 1: 次のコード例では、カスタム setter メソッドを使用してフィールドが更新されるため、認証チェックが必要になります。

<apex:page controller="accessControl">
  <apex:pageBlock >
    <apex:pageBlockSection >
      <apex:outputText value="Survey Name: "/>
      <apex:inputText value="{!surveyName}"/>
      </apex:pageBlockSection>
    <apex:pageBlockSection >
      <apex:outputText value="New Name: "/>
      <apex:inputText value="{!newSurveyName}"/>
    </apex:pageBlockSection>
      <apex:pageBlockSection >
      <apex:commandButton value="Update" action="{!updateName}"/>
    </apex:pageBlockSection>
  </apex:pageBlock>
</apex:page>

public String surveyName { get; set; }
public String newSurveyName { get; set; }
public PageReference updateName() {
  Survey__c s = [SELECT Name FROM Survey__c WHERE Name=:surveyName];

  s.Name = newSurveyName;
  update s;

  PageReference page = ApexPages.currentPage();            
  page.setRedirect(true);
  return page;
}

アプリケーションによって、攻撃者は AWS S3 バケットまたはオブジェクトに付与された権限を制御できるようになります。これによって、攻撃者はコンテンツの読み取りや任意のファイルの書き込みを可能にするような脆弱なポリシーを設定することができます。

例 1: 次のコードは、ユーザーによって指定された Access Control Policy を使用して新しいバケットを作成します。

    String canned_acl = request.getParameter("acl");

    CreateBucketRequest createBucketRequest = CreateBucketRequest.builder()
        .bucket("foo")
        .acl(canned_acl)
        .createBucketConfiguration(CreateBucketConfiguration.builder().locationConstraint(region.id()).build())
        .build();

アプリケーションが acl パラメーターが限定されたセットから選択されることを期待している場合でも、攻撃者はそれを public-read-write に設定し、バケットへの完全な匿名アクセス権を付与することができます。

データベースの Access Control エラーが発生するのは次の場合です。

1. 信頼できないソースからデータがプログラムに入り込んだ場合。


2. データは、SimpleDB アクセスコールで項目名を指定するために使用されます。
例 1: 次のコードは、トランザクションの日付を基準に命名される領収書のデータベースに対して操作を実行します。このプログラムは最初に顧客を認証して、次に、前のリストから領収書を選択させています。

...
String selectedInvoice = request.getParameter("invoiceDate");
...
AmazonSimpleDBClient sdbc = new AmazonSimpleDBClient(appAWSCredentials);
GetAttributesResult sdbResult = sdbc.getAttributes(new GetAttributesRequest("invoices", selectedInvoice));
...

Example 1 のコードは、現在のユーザーに属する領収書のリストを生成しますが、攻撃者はこの動作を回避して希望する任意の領収書をリクエストすることができます。この例のコードの場合、リクエストされた領収書へのアクセス権限をユーザーが確保しているか確認しないため、現在のユーザーに帰属していなくても、リクエストされたとおりの領収書を表示します。

Access Control エラーは次の場合に SQLite クエリで発生します。

1. 信頼できないソースからデータがプログラムに入り込んだ場合。


2. SQLite クエリで主キーの値を特定するためにデータが使用されている場合。
例 1: 次のコードは、メタ文字をエスケープして Query String Injection の脆弱性を阻止するパラメーター化されたステートメントを使用して、ユーザーが指定した識別子と一致する領収書を検索する SQLite クエリを作成し、実行します。

  ...
  id = this.getIntent().getExtras().getInt("id");
  cursor = db.query(Uri.parse(invoices), columns, "id = ? ", {id}, null, null, null);
  ...
  

問題は、開発者が id に可能なすべての値を検討しきれていないことです。現在のユーザーに属する領収書 ID のリストがクエリにより生成されますが、攻撃者はこの動作を回避して希望する任意の領収書をリクエストすることができます。この例のコードの場合、リクエストされた領収書へのアクセス権限がユーザーにあるか確認しないため、現在のユーザー以外のものも含め、リクエスト通りに領収書を表示します。

匿名バインドの元で、LDAP クエリを実行すると、事実上 Authentication が行われてなくても、攻撃者は脆弱な設定となっている LDAP 環境を侵害できます。

例 1: 次のコードは、匿名バインドを使用して、DirContext ctx を作成します。

...
env.put(Context.SECURITY_AUTHENTICATION, "none");
DirContext ctx = new InitialDirContext(env);
...

ctx に対するすべての LDAP クエリは、Authentication および Access Control なしで実行されます。攻撃者は予期しない方法でこれらのクエリのいずれかを操作して、ディレクトリの Access Control メカニズムにより保護されている可能性があるレコードにアクセスする可能性があります。

Access Control: Authorization Bypass の問題は、次の場合に発生します。

1. 信頼できないソースを経由してデータがプログラムに入り込んだ場合。

2.ユーザー制御のデータがパラメーターとしてメソッドに渡され、それが原因でメソッドによる内部の認証チェックがスキップされる場合。
例 1: 次のコードは、従業員データをフェッチするメソッドにユーザー制御のインジケーターを提供します。

    ...
	PARAMETERS: p_xfeld TYPE xfeld.
    ...
CALL FUNCTION 'BAPI_EMPLOYEE_GETDATA'
  EXPORTING
    employee_id      = emp_id
    authority_check  = p_xfeld
  IMPORTING
    return           = ret
  TABLES
    org_assignment   = org_data
    personal_data    = pers_data
    internal_control = con_data
    communication    = comm_data
    archivelink      = arlink. 
    ...

攻撃者がパラメーター p_xfeld に空白を指定した場合、従業員の個人情報や連絡先情報を返す前に、認証チェックは実行されません。

次の場合には、Azure Cloud アクセス制御エラーが発生します。

1. 信頼できないソースからデータがプログラムに入り込んだ場合。


2. 権限のないキュー/blob やそのメッセージ/内容を参照/変更/削除するためにデータが使用された場合。
例 1: 次のコードは、指定されたキューとそのメッセージを削除します。

    ...
    var queueName = queryStringData['name'];
    var queueSvc;
    queueSvc = azureStorage.createQueueService();
    ...
    queueSvc.deleteQueue(queueName, option, function(error, response){
      if(!error){
          // all the messages has been deleted
      }
    });
    ...
    

例 2: 次のコードは、指定された blob コンテナとその内容を削除します。

    ...
    var containerName = queryStringData['name'];
    var blobSvc;
    blobSvc = azureStorage.createBlobService();
    ...
    blobSvc.deleteContainer(containerName, function (error, response) {
      if (!error) {
          // all the content in the given container has been deleted
      }
    });
    ...
    

Example 1 とExample 2 のコードは、現在のユーザー/プログラムに属する指定されたキュー/blob コンテナとそのメッセージ/内容を削除していますが、攻撃者は Azure アカウントの任意のキュー/blob を削除することができます。この例のコードはユーザー/プログラムが要求されたキュー/blob を消去する権限を持っているかを確認していないため、現在のユーザー/プログラムに属していないキュー/blob も消去されます。

Android では、パッケージ名は大文字と小文字が区別されているため、大文字と小文字を区別する方法で比較する必要があります。 悪意のあるアプリケーションは、アクセス制御をすり抜けるられるように、さまざまな大文字と小文字を含む同じようなパッケージを共有する場合があります。

例 1: 次のコードは、アクセス制御のために安全でない文字列比較を実行します。

public boolean isTrusted(String paramString) {
 if (this._applicationContext.getPackageName().equalsIgnoreCase(paramString)) {
 return true;
}

データベースの Access Control エラーが発生するのは次の場合です。

1. 信頼できないソースからデータがプログラムに入り込んだ場合。


2. SQL クエリで主キーの値を特定するためにデータが使用されている場合。
例 1: 次のコードは、メタ文字をエスケープして SQL Injection の脆弱性を阻止するパラメーター化されたステートメントを使用して、指定された識別子と一致する領収書を検索する SQL クエリを作成し、実行します [1]。識別子は、現在の認証されたユーザーに関連付けられているすべての領収書のリストから選択されています。

...
id = Integer.decode(request.getParameter("invoiceID"));
String query = "SELECT * FROM invoices WHERE id = ?";
PreparedStatement stmt = conn.prepareStatement(query);
stmt.setInt(1, id);
ResultSet results = stmt.execute();
...

問題は、開発者が id に可能なすべての値を検討しきれていないことです。現在のユーザーに属する領収書 ID のリストがインターフェイスにより生成されますが、攻撃者はこのインターフェイスを回避して目的の領収書をリクエストする可能性があります。この例のコードの場合、リクエストされた領収書へのアクセス権限をユーザーが確保しているか確認しないため、現在のユーザーに帰属していなくても、リクエストされたとおりの領収書を表示します。

一部には、モバイルの世界ではデータベースの Access Control エラーのような古典的な Web アプリケーションの脆弱性は意味がなく、自分に降りかかる攻撃をするはずがない、という見方があります。しかし忘れてはならないモバイルプラットフォームの基本は、さまざまなソースからアプリケーションをダウンロードして同じデバイス上で一緒に実行することです。このため、たとえばバンキングアプリケーションのすぐ隣でマルウェアの一部を実行する可能性が高くなり、モバイルアプリケーションの攻撃面を拡張し、プロセス間通信なども含める必要があります。

例 2: 次のコードでは、Android プラットフォームにExample 1 を応用しています。

...
        String id = this.getIntent().getExtras().getString("invoiceID");
        String query = "SELECT * FROM invoices WHERE id = ?";
        SQLiteDatabase db = this.openOrCreateDatabase("DB", MODE_PRIVATE, null);
        Cursor c = db.rawQuery(query, new Object[]{id});
...

最新の Web フレームワークの多くが、ユーザー入力を検証するためのメカニズム (Struts および Struts 2 を含む) を提供しています。検証されていない入力ソースの問題を正確に反映させるために、Fortify セキュア コーディング ルールパックは、フレームワーク検証メカニズムが使用されている場合には、その証拠を示し、悪用の可能性を低く見積もり、Fortify Static Code Analyzer により報告される問題の優先度を動的に変更します。この機能は、状況依存ランキングと呼ばれます。Fortify ユーザーがさらに監査プロセスを効果的に進めることができるように、Fortify Software Security Research グループでは、入力ソースに適用される検証メカニズムを基準としたフォルダに問題をグループ化する Data Validation (データ検証) プロジェクト テンプレートのフォルダを用意しています。

DLI の Access Control エラーが発生するのは次の場合です。

1. 信頼できないソースからデータがプログラムに入り込んだ場合。


2. EXEC DLI コマンドで主キーの値を特定するためにデータが使用されている場合。
例 1:次のコードは、メタ文字をエスケープしてインジェクションの脆弱性を阻止するパラメーター化されたステートメントを使用して、指定された識別子と一致する領収書を検索する EXEC DLI コマンドを作成し、実行します。識別子は、現在の認証されたユーザーに関連付けられているすべての領収書のリストから選択されています。

...
ACCEPT ID.
EXEC DLI
  GU
  SEGMENT(INVOICES) 
  WHERE (INVOICEID = ID)
END-EXEC.
...

問題は、開発者が ID に可能なすべての値を検討しきれていないことです。現在のユーザーに属する領収書 ID のリストがインターフェイスにより生成されますが、攻撃者はこのインターフェイスを回避して目的の領収書をリクエストする可能性があります。この例のコードの場合、リクエストされた領収書へのアクセス権限をユーザーが確保しているか確認しないため、現在のユーザーに帰属していなくても、リクエストされたとおりの領収書を表示します。

デフォルトでは、ASP.NET フォーム認証は、認証プロセス中に、ユーザー資格情報を、ネイティブ API に渡す前に検証します。問題は、aspnet:UseLegacyFormsAuthenticationTicketCompatibility 設定を使用してこの機能を変更できる点です。これにより、未検証の入力がネイティブ API に渡され、攻撃者が認証をバイパスできるようになる可能性があります。攻撃者がこの脆弱性の悪用に成功すると、パスワードなしで、既知のユーザー名の ASP.NET フォーム認証をバイパスする可能性があります。続いて攻撃者が、被害者ユーザーのコンテキストで任意のアクション (サイトで任意のコマンドを実行するなど) を実行する可能性があります。

例 1: 次の例では、aspnet:UseLegacyFormsAuthenticationTicketCompatibility が true に設定されています。

...
  <appSettings>
    <add key="aspnet:UseLegacyFormsAuthenticationTicketCompatibility" value="true" />
  </appSettings>
...

Metadata クラスは、Google Remote Procedure Call (gRPC) で使用される基本プロトコルのヘッダー データを格納するためによく使用されます。io.grpc.ServerInterceptor クラスを実装する場合は、Metadata オブジェクトを検証し、例外が発生した場合はエラーが返されるようにする必要があります。

例 1: 次のコードは、gRPC Metadata オブジェクトへの入力として使用されるユーザー制御可能なデータを示しており、これは、例外をキャッチした後で、次の io.grpc.ServerCallHandler オブジェクトに渡されます。

class PotentialAuthByPassInterceptor implements ServerInterceptor {
    @Override
    public <ReqT, RespT> ServerCall.Listener<ReqT> interceptCall(ServerCall<ReqT, RespT> call, Metadata metadata, ServerCallHandler<ReqT, RespT> next) {
        try {
            customValidate(metadata);
        } catch (RuntimeException e) {
            return next.startCall(call, metadata);
        }
        ...
        return Contexts.interceptCall(Context.current(), call, metadata, next);
    }
}

データベースの Access Control エラーが発生するのは次の場合です。

1. 信頼できないソースからデータがプログラムに入り込んだ場合。

2. データが LDAP クエリのデータ値を指定するために使用される場合。
例 1: 現在認証されているユーザーの従業員 ID は、クライアントサイドインターフェイスからの各リクエストで自動的に送信されます。次のコードは、LDAP クエリの構築に使用する前に、整数として従業員 ID を適切に検証します。この検証により、LDAP Injection の脆弱性を防ぐことができますが、コードは脆弱なままとなります。

...
env.put(Context.SECURITY_AUTHENTICATION, "none");
DirContext ctx = new InitialDirContext(env);

String empID = request.getParameter("empID");

try
{
  int id = Integer.parseInt(empID);

  BasicAttribute attr = new BasicAttribute("empID", empID);

  NamingEnumeration employee =
            ctx.search("ou=People,dc=example,dc=com",attr);
...

この問題は、開発者が empID に攻撃者が別の値を指定したときにどのような動作が起こりうるかを検討していない点にあります。このインターフェイスは、現在のユーザーの従業員 ID を自動的に送信しますが、攻撃者は悪意あるリクエストの一部として別の値を送信できる場合があります。この例のコードは、匿名バインドでクエリを実行しているため、現在認証されているユーザーの ID に関わらず、すべての有効な従業員 ID のディレクトリエントリを返します。

ユーザーが手動で新しいトランザクションを開始する場合、SAP システムでユーザーがトランザクションの実行を許可されているかどうかが自動的にチェックされます。ただし、ユーザーがプログラミングにより CALL TRANSACTION ステートメントを呼び出すことによって新しいトランザクションを開始する場合、デフォルトではこれらのチェックが実行されません。このステートメントの前に認証チェックが明示的に実行されない場合、ABAP プログラムを実行するユーザーは、本来は実行を許可されていないトランザクションを実行する可能性があります。

例 1: 次のコードは、ABAP プログラムを実行できるトランザクションを呼び出します。

...
CALL TRANSACTION 'SA38'.
...

この場合、このコードを実行しているユーザーは、本来はこの操作は許可されていないにも関わらず、ABAP エディタを開始できるため、システムを完全に制御できる可能性があります。

MQ オブジェクトを開くときに実施する権限チェックのタイプを決定するのにアプリケーションが後で使用する値を攻撃者が指定できる場合、攻撃者はすべての Access Control チェックに合格して、本来はアクセスできないオブジェクトを開いてしまう可能性があります。

例 1: 次の COBOL コード部分は、ターミナルから値を読み取って、MQ オブジェクト ディスクリプタの MQOD-ALTERNATEUSERID および MQOD-ALTERNATESECURITYID フィールドの制御にその値を使用しています。

...
10 MQOD.
**    Alternate user identifier
   15 MQOD-ALTERNATEUSERID     PIC X(12).
**    Alternate security identifier
   15 MQOD-ALTERNATESECURITYID PIC X(40).
   ...
...
ACCEPT MQOD-ALTERNATEUSERID.
ACCEPT MQOD-ALTERNATESECURITYID.
CALL 'MQOPEN' USING HCONN, MQOD, OPTS, HOBJ, COMPOCODE REASON.
... 

この例では、開かれている MQ オブジェクトに対する Access Control チェックに合格することが可能となる値が、攻撃者によって指定される可能性があります。

一般的に、ユーザー入力などの信頼できないデータを使用して機密データを管理できないようにします。

通常、SAP アプリケーションでの認証チェックは、アプリケーションを実行するユーザー (ログオンしているユーザー) に対して行われます。しかし、次の方法で、別のユーザー (ログオンしているユーザー以外) に対する認証をプログラミングによりチェックすることができます。
1. FOR USER と一緒にステートメント AUTHORITY-CHECK を使用する
2. ユーザーを指定して関数モジュール AUTHORITY_CHECK を呼び出す
3. ユーザーを指定して関数モジュール SU_RAUTH_CHECK_FOR_USER を呼び出す

このようなチェックが必要な場合がありますが、権限昇格のセキュリティ リスクが発生する可能性があります。認証チェックの実行対象となる「ユーザー ID」の入力を制御する悪意のあるユーザーが、既知のスーパーユーザー (たとえば、SAP* や DDIC など) を指定することによって、本来はユーザーに対して禁止されているアクセスの許可を行うようにシステムに仕向けることが可能になります。

認証チェックに使用される「ユーザー ID」をユーザーが直接制御できない場合でも、別のユーザーに対する認証をプローブすることは好ましくない方法とみなし、避けるべきです。認証チェックを実行する場合、ログオンしているユーザー (sy-uname) を明示的に指定する必要がありません。これはデフォルトの動作です。明示的に指定しても、実際にチェックが実行される前に sy-uname が搾取される可能性が生じるだけです。そのため、一般的に別のユーザーの認証チェックをスキップしてから、特にログオンしているユーザーを明示的に指定することをお勧めします。

例 1: 次のコードは、ABAP プログラムを実行できるトランザクションを呼び出す前に、ユーザー認証をチェックします。

...
AUTHORITY-CHECK OBJECT 'S_TCODE' FOR USER v_user
ID 'TCD' FIELD 'SA38'.
IF sy-subrc = 0.
CALL TRANSACTION 'SA38'.
ELSE.
...

この場合、許可されていないユーザーが、既知のスーパーユーザー (SAP* や DDIC など) を変数 v_user に指定することによって、ABAP プログラムを開始できます。

直接呼び出し元のクラスローダーチェックを使用してタスクを実行するJava APIは、注意して使用する必要があります。これらのAPIは、実行チェーン内のすべての呼び出し元が必要なセキュリティ権限を持っていることを確認するSecurityManagerチェックをバイパスします。直接呼び出し元のクラスローダーだけにアクセスチェックを実行すると権限昇格の問題が発生し、実行チェーン内の一部の呼び出し元が必要な権限なしでリソースにアクセスできる可能性があります。したがって、これらの API は信頼のないコードで呼び出すべきではありません。システムのセキュリティを損なう恐れがあります。



信頼のないソースから、または信頼のない環境内のJava AppletはこれらのAPIにアクセスし、悪意のあるコードを実行してシステムのセキュリティを損ないます。

Salesforce アプリケーションは、共有ルールを使用して、ユーザー権限とデータベース レコードへのアクセスを制御します。ただし、Apex クラスは、ルールの適用方法を変えるさまざまな共有キーワードを使用して宣言できるため、ユーザー共有ルールが Apex で常に適用されるわけではありません。クラスは、次の 3 つの異なる共有キーワードのいずれかで宣言できます。

- with sharing: ユーザー共有ルールが適用されます。
- without sharing: 共有ルールは適用されません。
- inherited sharing: 呼び出し元のクラスの共有ルールが適用されます。呼び出し元のクラスで共有キーワードが指定されていない場合、またはクラス自体が Visualforce コントローラーなどのエントリポイントである場合、デフォルトでユーザー共有ルールが適用されます。

共有キーワードが宣言されていない場合、クラスは呼び出し元のクラスの共有モードを継承します (ある場合)。そうしないと、共有ルールが適用されません。

例 1: 次の 3 つのすべての Apex クラスには、データベース クエリ呼び出しについて安全でない共有キーワードがあります。

    public class MyClass1 {
        public List<Contact> getAllTheSecrets() {
            return Database.query('SELECT Name FROM Contact');
        }
    }

    public without sharing class MyClass2 {
        public List<Contact> getAllTheSecrets() {
            return Database.query('SELECT Name FROM Contact');
        }
    }

    public inherited sharing class MyClass3 {
        public List<Contact> getAllTheSecrets() {
            return Database.query('SELECT Name FROM Contact');
        }
    }

MyClass1 と MyClass2 はどちらも安全ではありません。ユーザー共有ルールを強制しなくてもレコードを取得できるためです。

MyClass3 の方が、デフォルトで共有ルールが適用されるため、より安全です。ただし、関数 getAllTheSecrets() が、without sharing を明示的に宣言するクラスで呼び出されると、不正アクセスが許可される可能性はあります。