OWASP テスティングガイド

OWASP Testing Guide v3.0
12. {
13. $autologin = ( isset($HTTP_POST_VARS['autologin']) ) ? TRUE : 0;
14. }
PHP において 文 字 列 値 とブーヨアヱ 値 (1 - 「TRUE」)の 比 較 は 常 に「TRUE」となるので、userialize() 関 数 に 下 記 文 字 列 ( 重 要
な 部邪 分 は「 b:1 」)を 入 力 すると 認 証 をバイパシできます。
a:2:{s:11:"autologinid";b:1;s:6:"userid";s:1:"2";}
参 考 情 報
ホワロアテペーパー
Mark Roxberry: "PHPBB 2.0.13 vulnerability"
David Endler: "Session ID Brute Force Exploitation and Prediction" - http://www.cgisecurity.com/lib/SessionIDs.pdf
ヂール
WebScarab: http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
WebGoat: http://www.owasp.org/index.php/OWASP_WebGoat_Project
4.4.6 脆 弱 なパスワローデ 記 憶 とリスチテのテステ (OWASP-AT-006)
概 要
ヤーゴがパシワロードを 忘 れた 場 合 に 備 えて、たいていのウェブアプヨクーサュヱは、 通 常 、 電 子婡 ミーラ、あるいは、1 つ 以 上
のスカャヨティ 質 問 によってヤーゴがパシワロードをヨスットできるようにしています。この 機 能 が 適遚 切 に 実 装 され、この 機 能 が
認 証 シカーボのフルーに 影 響 しないことを 確 認 して 下 さい。また、アプヨクーサュヱがブョウゴの 中 にパシワロードを 記 憶 するこ
とを 許 可 しているかどうかも 確 認 して 下 さい。(「パシワロード 記 憶 」 機 能 )
解 説
非 常 に 多 くのウェブアプヨクーサュヱは、ヤーゴがパシワロードを 忘 れた 場 合 に、パシワロード 復 旧 (あるいはヨスット) 方 法 を 提 供
しています。その 手 順 はアプヨクーサュヱごとに 大 きく 異 なり、 必 要 とされるスカャヨティのリプラに 応 じて 大 きく 異 なりますが、
常 にヤーゴのアイデヱティティを 確 認 する 代 替 の 方 法 を 使 います。 最 も 単 純 で( 一 般 的 な) 方 法 の 1 つは、ヤーゴの 電 子婡 ミ
ーラアドリシを 確 認 し、その 電 子婡 ミーラアドリシに 古 いパシワロード(あるいは 新 しいパシワロード)を 送 ることです。このシカーマ
はヤーゴの 電 子婡 ミーラアドリシは 不 正 侵 害 されておらず、このゲーラにとって 十 分 スカャアであるという 前 提 に 基 づいてい
ます。
代 わわりに、(あるいは 追 加 で)アプヨクーサュヱはヤーゴに 1 つ 以 上 の「スカャヨティ 質 問 」をすることがあります。その 質 問 は、
通 常 、ヤーゴによって 選遥 ばれます。このシカーマのスカャヨティは、 個 人 情 報 を 探 しても 簡 単 には 答 えられない 質 問 により、
ヤーゴを 特牐 定 することに 基 づいています。 悪 い 例 として、「あなたの 母 親 の 旧 姓 」は、 労 力 をあまりかけずに 収 集 可 能 な 情 報
なのでスカャアではない 質 問 です。 良 い 例 として、「 大 好 きだった 小 学婲 校 の 先 生 」は、 個 人 情 報 が 既 に 盗 まれていたとしても、
難 しく 優 れた 質 問 です。
他 の 一 般 的 で 便 利 な 方 法 に、アプヨクーサュヱが(キョイアヱトボサヱ 上 の)ブョウゴにパシワロードをカメッサャさせ、その 後 の
アキスシで「 既 に 入 力 済 みの」パシワロードを 使 用 することがあります。 平 均 的 なヤーゴにとってこの 機 能 は 非 常 に 使 いやすい
と 考 えられています。その 一 方 、 誰 かが 同 じボサヱアォウヱトを 使 うと、 容 易 にヤーゴアォウヱトが 使 わわれてしまいます。
139