指摘事項 #143
[脆弱性診断]権限昇格
0%
指摘事項
・危険度:高
・解説
ユーザに対して仕様上許可されていない操作が実行可能であることが確認されました。
データの不正な閲覧や登録更新削除が行われる可能性があります。
・対象
(1)
社員情報アップロード
https://c.ecomic-app.com/ecclub/shain
給与アップロードチェック
https://c.ecomic-app.com/ecclub/kyuyokoukai
(2)
雇用契約一括ダウンロード<検索結果をダウンロ―ドする>
https://c.ecomic-app.com/ecclub/KoyouKeiyakushoIkatsuDownLoad/KoyouKeiyakushodownload/csvDownload
雇用契約一括ダウンロード<選択項目のダウンロ―ドする(PDF)>
https://c.ecomic-app.com/ecclub/KoyouKeiyakushoIkatsuDownLoad/KoyouKeiyakushodownload/pdfDownload
給与明細一括ダウンロード<選択項目をダウンロードする>
https://c.ecomic-app.com/ecclub/kyuyoMeisaiIkatsuDownLoad/KyuyoMeisaidownload/selectPdfDownLoad
各種アップロード取込履歴画面<CSVダウンロード>
https://c.ecomic-app.com/ecclub/torikomirireki/ichirancsv
ドキュメント一括ダウンロード<検索結果をダウンロードする>
https://c.ecomic-app.com/ecclub/DokyumentoIkatsuDownLoad/Dokyumentodownload/csvDownload
ドキュメント一括ダウンロード<選択項目をダウンロードする(PDF)>
https://c.ecomic-app.com/ecclub/DokyumentoIkatsuDownLoad/Dokyumentodownload/pdfDownload
・確認方法
(1)
1) ログイン画面にて、一般従業員ユーザーとしてログインします。
2) ブラウザに対象URLを入力し遷移します。
3) 権限が低い一般従業員ユーザーで人事担当者・設定担当者権限が必要な該当ページへアクセス可能であることが確認できます。
(2)
1) 設定担当者権限ユーザーとしてログインします。
2) 対象画面に遷移してダウンロード操作を実行し、送信されたリクエストURL(パラメータを含む)をコピーします。
3) ログアウトし、一般従業員ユーザーとしてログインします。
4) コピーしたURLをブラウザに入力し遷移します。
5) 権限が低い一般従業員ユーザーで人事担当者・設定担当者権限が必要なファイルダウンロードが可能であることが確認できます。
・対処方法
画面上でのメニューやリンクの有無ではなく
実際の操作の実行時にユーザの権限をチェックしてください。
回答・対応内容
メニューに表示されている画面以外にURL直書きで遷移しようとした場合、権限エラー画面を遷移させるよう修正。
→Controller層でロール情報の機能IDリストをチェックし、対象画面IDが無い場合に権限エラー画面へ遷移
※Postのみが許可されているURLについては、先にそちらのチェックがなされる為、権限エラー画面に遷移するよう修正。
---------------
対応確認いたしました。
履歴
#9 拓圭 深田 が4年以上前に更新
- 回答・対応内容 を更新 (diff)
- 担当者 を 拓圭 深田 から 菊池 威之 に変更
- ステータス を 対応済 から 承認済 に変更
- ファイル 【テスト実施後】権限昇格.xlsx 【テスト実施後】権限昇格.xlsx を追加