IPアドレスフィルタリングとWebアプリケーションセキュリティ

IPのみの認証を使用している場合でも、攻撃者は、ファイアウォールによるアプリケーションへのアクセスを許可されているホストに対するピボット攻撃を通じてWebアプリケーションを使用できます。

たとえば、アプリケーションがイントラネット（http://192.168.0.5）内にあり、クライアントの1つ（192.168.0.100）がインターネットを閲覧しており、イントラネットのフィンガープリントを行う悪意のあるWebページにアクセスして、 http ：//192.168.0.x/ （x = 0..255）被害者（192.168.0.100）ブラウザーを介したURL。ポート80が開いているIPを効果的に見つけ、攻撃者に報告します。攻撃者はそれを行うことができます。 BeEF フレームワーク。その後、攻撃者はプロキシのような被害者のブラウザを使用して、ターゲットアプリケーション（http://192.168.0.5）にリクエストを発行できます。イントラネットにインストールされているソフトウェアの種類を検出するためのフレームワークもあります。 横総 。これらを使用すると、さらなる攻撃が容易になります。

もちろん、攻撃者はいずれかのクライアントのOSを攻撃することもできます（例： スピアフィッシング または drive-by-download 攻撃））。イントラネットアプリケーションであり、同一生成元ポリシーによって制限されません。

同じサブネット内の一部のホストのみにアプリケーションへのアクセスを許可している場合（および他のホストはアクセスを拒否されている場合）、内部攻撃者はより多くの知識を持っているため（たとえば、アプリケーションの正確なURLを知っている可能性があるため）、バージョンです。番号）と同じネットワーク内にいるため、たとえば ARPスプーフィング アプリケーションと許可されたクライアントの1つとの間のトラフィックをハイジャックする攻撃。

SSLでのみアプリケーションをホストし（中間者攻撃から保護するため）、ログイン/パスワード認証（Cookieベースまたは単純なHTTP認証）を追加することをお勧めします