Embed Notice

@mamemomonga 私は、「認証の不備」ではなく「認可制御の不備」の方が確率的に高いと思っています。

APIへのアクセスは、ログイン済みユーザーアカウントごとにBearerトークンを生成してHTTPリクエストに載せる方が一般的で、これは「APIの認証がかかって」いる状態ですが、「SSL/TLSを利用したモバイルアプリの通信を傍受し解析する知識」があれば解析は可能です。

この前提で脆弱性が成立するかどうかは、認可制御が正しく行われているかどうかが鍵です。

認可制御が正しく行われていない典型的な例は、ユーザーアカウントが連続した数値で表現されていて、APIのパラメータでそれを指定する場合です。たとえばまめもさんがID=10000、h12oがID=10001だとして、パラメータの10000を10001にかきかえればまめもさんがまめもさんの認証情報で（h12oの認証情報を使わずに）h12oの情報を取得できることになります。