OWASP テスティングガイド

OWASP Testing Guide v3.0
ッスーザが 得 られます。 例 えば、アプヨクーサュヱにおいて 認 証 失 敗 であるなら、 下 記 のようなソイトラの web ヘーザが 返 り
ます。8
Invalid user
Invalid authentication
パスワローデ 復 旧 機 能 のミチスージの 分 析
パシワロード 復 旧 機 能 を 使 うと、 脆 弱 なアプヨクーサュヱはヤーゴ 名 が 存 在 するかどうかを 示 す 情 報 を 返 すことがあります。
例 えば 下 記 のようなミッスーザです。8
Invalid username: e-mail address are not valid or The specified user was not found
Valid username: Your recovery password has been successfully sent
よくある 404 エラーミチスージ
ヤーゴ 名 が 存 在 しないディリキトヨについてヨキウシトを 送 ると、 常 に 404 ウョーケードが 返 るとは 限 りません。 代 わわりに、「200
ok」が 画 像 と 供 に 返 るかもしれません。この 場 合 、 特牐 定 の 画 像 が 返 るとヤーゴ 名 が 存 在 しないと 推 測 できます。このルザッキ
は 他 のウェブコーバにも 応 用 できます。このトヨッキはウェブコーバとウェブアプヨクーサュヱのミッスーザについての 素 晴 ら
しい 分 析 です。
ヤーザ 名 の 推 測
管 理 者 あるいは 会 社 の 特牐 別 なホヨサーにしたがってヤーゴ ID が 作 成 されることがあります。 例 えば、 番 号 順 で 作 られたヤ
ーゴ ID があります。8
CN000100
CN000101
…….
ヤーゴ 名 は REALM の 別 名 と 番 号 順 で 作 られることもあります。8
R1001 – user 001 for REALM1
R2001 – user 001 for REALM2
ヤーゴ ID はキリザットォード 番 号 あるいは 特牐 定 のパソーヱと 関 連連 付 けて 作 れることもあります。 上 記 コヱプラでは、 正 しいヤ
ーゴ ID を 見 つけるために、ヤーゴ ID を 構 成 する 単 純 なサェラシキヨプトを 作 り、wget のようなツーラを 使 い 自 動 的 にヨキウ
シトを 送 信 することができます。シキヨプトを 作 るために、Perl と CURL が 使 えます。
LDAP キウヨの 情 報 や 特牐 定 のドミイヱについて Google から 収 集 した 情 報 を 使 い、ヤーゴ 名 を 推 測 できます。
ヤーゴ 名 の 推 測 についての 詳 細 は、 次 の 節 「4.4.3 デフェラトあるいは 推 測 可 能 な( 辞 書 を 使 っての)ヤーゴアォウヱトのテ
シト」にあります。
注 意 :ヤーゴアォウヱトを 列 挙 することによって、(アプヨクーサュヱのホヨサーに 基 づいて) 予 め 定 められた 探 索 失 敗 回 数 を
超 えると、アォウヱトがルッキアウトする 危 険 があります。アプヨクーサュヱファイアウェーラの 動 的 ラーラが、 送 信 元 IP アドリ
シを 禁 止 することもあります。
125