強制ブラウズ とは、アドレスバーからURLを直接入力して、非公開のブラウzを強制的に表示させてしまう攻撃
http://www.example.co.jp/some/path/filename.html
この場合、URLを推測してアクセスしてくる場合がある
### コメント
コードのコメントの意味を読み取って、攻撃する場合がある
### 検出方法
– 検索エンジンによる検索
– nikto
– OWASP DirBuster
– ZAP
– wfuzz
OWASP DirBusterの例
ターゲットURLとディレクトリリストを入力すると、見つかったディレクトリ等が表示されれて、ファイルを表示することもできる
ワードプレスのようなOSSの場合はディレクトリ構成が既に判明しているため、攻撃を受けやすい
攻撃方法を専門で研究している人もいるのか…
怖いね
