はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの山川です。 多くのWebサービスにおいて、ブログ記事やドキュメントの公開・下書き共有のためにURLを発行する機能が存在していると思います。このようなURLに関して、第三者に知られたくない場合「推測不可能なURL」を発行するといったセキュリティ観点は広く知られているかと思いますが、それ以外にはどのような観点が存在しているでしょうか。 本稿では、Webサービス上で発行されるURLに関して「どういったセキュリティの観点があるか」や「脆弱性・リスクに対する対策」についていくつかのパターンを前提に解説します。 はじめに 前提 機能一覧 セキュリティ観点 パターン1: URLが推測可能かつアクセス制御に不備がある場合 連番になっている 日付が入っている 単純な値を用いて変換されたハッシュ値 パターン2: URLが推測不可
![「推測不可能性」だけで安心?セキュアなURL生成について考える - Flatt Security Blog](https://cdn-ak-scissors.b.st-hatena.com/image/square/37f09c4fa57de8e2ac4e1f7f66d0baab0bc90777/height=288;version=1;width=512/https%3A%2F%2Fcdn-ak.f.st-hatena.com%2Fimages%2Ffotolife%2Ff%2Fflattsecurity%2F20220228%2F20220228101414.png)