URL検証バイパス・チートシートに「新しい過激なペイロード」追加——PortSwigger Researchが更新内容を公開

本記事の元ソースは、PortSwigger Researchの「New crazy payloads in the URL Validation Bypass Cheat Sheet」です。

概要

PortSwigger Researchは、URLの検証ロジックをすり抜けるための手口を整理した「URL Validation Bypass Cheat Sheet」のアップデートを告知しました。元記事の抜粋では、このチートシートの強みとして「Webセキュリティ・コミュニティからの貢献」を挙げつつ、今回の更新でも例外ではないと説明しています。また、更新内容として「新しく、改善されたIPアドレス関連（“new and improved IP …”）の何か」を導入する旨が示唆されています。

このチートシートは、SSRF（Server-Side Request Forgery）などで頻出する「入力URLを許可リストで制限する」「内部ネットワーク宛てアクセスを防ぐ」といった対策が、想定外のURL表現によって破られるリスクを体系化して理解するための資料として位置づけられます。運用上は、プロキシ・ゲートウェイ・バックエンドの複数層でURLの解釈がズレることが事故の起点になりやすく、こうした“ズレ”を意識して設計・テストする必要があります。

詳細

今回の告知で重要なのは、単に「新しいペイロードが増えた」という点だけではなく、知見の集約の仕方そのものがアップデートされ続けている点です。PortSwigger Researchは、チートシートの価値を“コミュニティの貢献”に置いており、現場で発見されがちなエッジケースが継続的に取り込まれることを前提にしています。URLの検証は、正規表現や文字列一致、URLパーサの挙動、DNS解決、リダイレクト、そして最終的な接続先（IPやポート）の決定まで、複数ステップの合成で成立します。そのため、入力段階での見た目が「安全そう」に見えても、別のコンポーネントが異なる解釈をして結果的に内部宛て通信が成立する、といったギャップが起きえます。

元記事の抜粋にある「新しく、改善されたIPアドレス関連」の示唆は、こうしたギャップの中心にIP表現があることをあらためて示しています。URL中のホスト部はドメイン名だけでなく、数値表現、さまざまな表記揺れ、あるいは解釈の差が出やすい形で表せることがあり、検証側が期待する“正規形”への正規化が不十分だと、ブロックすべき宛先がすり抜ける余地が残ります。とくに、アプリケーション層・ライブラリ・インフラ層で「同じURLをどう解釈するか」が一致していない場合、許可/拒否判定と実際の接続先が乖離しやすくなります。

さらに、このチートシートがSSRF文脈で提供されている点も見逃せません。SSRF対策では、入力URLの“文字列”を検査するだけでなく、解決後のIPレンジ判定、リダイレクト追跡、プロトコル制限、解決の再実行による競合（TOCTOU）など、より踏み込んだ設計が必要になります。チートシートは、こうした現場のつまずきどころを「テスト観点」として整理する役割を果たし、開発者・セキュリティ担当者がレビューや検証で見落としやすいパターンを意識的にカバーする助けになります。

PortSwiggerはこの種の“チートシート”を継続的に整備しており、URL検証バイパスのチートシートを紹介する記事や、関連する攻撃・検証観点を扱う研究記事も公開しています。今回のアップデートは、その流れの中で「最新の回避表現を取り込み、実務で再現・検証しやすい形に整える」取り組みの一部として読むのが適切です。防御側としては、（1）どの層でURLを解釈しているか、（2）どの段階の値を許可/拒否しているか、（3）最終接続先の実体（解決後IPやポート）とポリシーが一致しているか、を明確にし、チートシートで提示される観点に照らしてテスト計画を更新していくことが重要になります。