Hello there, ('ω')ノ
🔍 1. 情報漏洩の兆候を見逃すな
✅ 注目ポイント:
| チェック対象 | 例 |
|---|---|
| エラーメッセージ | SQLエラー、スタックトレース、パス表示など |
| HTMLコメント | <input type="hidden" value="admin">、ベータ情報 |
| レスポンスヘッダ | サーバー情報 (Server: Apache/2.4.41) やバージョン情報 |
| デバッグ出力 | console.log() や JSONのdebugフィールド |
| 非公開ファイル | .git/, .env, .bak, debug.log など |
| robots.txt | インデックスされては困るURLの一覧が載っていることが多い |
| 挙動の違い | 存在するユーザー vs 存在しないユーザーで異なるレスポンス |
🧪 2. Burp Suite を使った調査テクニック
🔧 Burpの活用方法:
- Proxy: 全リクエストとレスポンスを記録し、情報漏洩があるか確認。
- Repeater: リクエストを再送して、異なる値を試す。
- Intruder: ファイル名やユーザー名の列挙に便利。
- Logger++(拡張): サーバーからのエラーメッセージやヘッダをフィルタで抽出。
🕵️♂️ 3. 特定のパターンで探る
| 攻撃パターン | 試すべき例 |
|---|---|
| ファイルリストの暴露 | /uploads/, /backup/, /logs/ などのパスを直接叩く |
| バックアップアクセス | index.php~, config.old, db.sql.bak, .git/HEAD |
| ディレクトリリスティング | https://site.com/private/ でファイル一覧が見える場合も |
| デバッグモード調査 | ?debug=true, ?env=dev などで表示内容が変わるか確認 |
| ログイン画面の挙動差 | 存在するユーザー名で異なるメッセージを返すか確認(ユーザー列挙) |
🛠 よく使うツール
| ツール | 用途 |
|---|---|
| Burp Suite | 総合的なリクエスト・レスポンス解析ツール |
| DirBuster / Gobuster / ffuf | 隠しディレクトリやファイルのスキャン |
| GitTools | .git フォルダから履歴を復元 |
| whatweb / Wappalyzer | 使用中の技術・バージョンの識別 |
| Nikto | 一般的な設定ミス・情報漏洩のスキャン |
🎯 ラボで練習しよう
PortSwigger Web Security Academy では、以下のようなラボで情報漏洩の練習ができます:
robots.txtや.gitフォルダからの構成情報漏洩- エラーメッセージに含まれる SQLテーブル名の発見
- ソースコードからのAPIキー抽出
- ファイル名変更によるパスワードリセットURLの漏洩
✅ まとめ
- 情報漏洩は「軽視されがち」だが、次の一手を導くカギになることが多い。
- ログ、エラー、隠れファイル、ヘッダなど「通常見ない場所」に注目する。
- Burp Suite と列挙ツールを駆使して「漏れてはいけない情報」を発見せよ。
🔐 情報は武器。1バイトのエラー情報が、完全な侵入につながることもある。油断せず、細部まで観察する力を身につけよう。
Best regards, (^^ゞ
