OWASP テスティングガイド

OWASP Testing Guide v3.0
• ヤーゴ 名 とパシワロードがハードケーディヱギされていないか、ケードを 調 べて 下 さい。
• 設 定 ファイラにヤーゴ 名 とパシワロードが 含 まれていないか 調 べて 下 さい。
期 待 される 結 果 :
テスト 対 象 のアプリケーションあるいはシステムへの 認 証 成 功
参 考 情 報
ホワロアテペーパー
• CIRT http://www.cirt.net/passwords
• Government Security - Default Logins and Passwords for Networked Devices
http://www.governmentsecurity.org/articles/DefaultLoginsandPasswordsforNetworkedDevices.php
• Virus.org http://www.virus.org/default-password/
ヂール
• Burp Intruder: http://portswigger.net/intruder/
• THC Hydra: http://www.thc.org/thc-hydra/
• Brutus http://www.hoobie.net/brutus/
4.4.4 ブルーテフォース 攻 撃 のテステ(OWASP-AT-004)
概 要
ブラートフェーシ 攻 撃 とは、すべての 可 能 な 候 補 を 体 系 的 に 列 挙 し、それぞれの 候 補 が 答 となるか 試 すことです。ウェブア
プヨクーサュヱのテシトにおいて、しばしば、アプヨクーサュヱの 内 部邪 へアキスシするために 正 しいヤーゴアォウヱトを 得 る 必
要 があります。したがって、 異 なるソイプの 認 証 シカーマ、 及 び、 異 なるブラートフェーシ 攻 撃 が 有 効 であるか 確 認 して 下 さ
い。
解 説
ヤーゴ 認 証 は、 非 常 に 多 くのウェブアプヨクーサュヱにみられます。 一 般 的 に、ヤーゴのアイデヱティティについての 情 報
を 使 って 保 護 された 領 域 を 作 り、ヤーゴごとにアプヨクーサュヱが 異 なる 振 る 舞 いをするようにできます。 実 際 、 電 子婡 証 明 書 、
生 体 認 証 デバイシ、OTP(ワロヱソイマパシワロード)トーキヱのようにヤーゴ 認 証 には 多 くの 方 法 がありますが、ウェブアプヨクー
サュヱには 通 常 はヤーゴ ID とパシワロードの 組 合 せが 使 わわれます。そのため、 数 多 く 列 挙 すること( 例 えば、 辞 書 攻 撃 )、ある
いは、すべての 候 補 を 列 挙 することによって、 正 しいヤーゴ 名 とパシワロードを 調 べる 攻 撃 が 可 能 です。
悪 意 のあるヤーゴがブラートフェーシ 攻 撃 を 成 功 させると、 下 記 にアキスシされてしまいます。8
129