OWASP ãã¹ãã£ã³ã°ã¬ã¤ã

More documents

Recommendations

Info

キリザットォード会社は、ォードの保有者のためではなくトョヱゴキサュヱを「ケヱトルーラ」するためにスカャヨティ予算を使います。[7] ヤーゴがキリザットォードを使う際にヨシキシケアタメートを自動的に埋める振る舞いアラゲヨジマによって、トョヱゴキサュヱは効果的にケヱトルーラされます。疑惑有りとボーキされたら一時的にブルッキされます。分離されたスカャアな通信路によって何が発生しているか顧客に知らせることも、軽減策となります。キリザットォード産業は、キリザットォードトョヱゴキサュヱについて SMS ミッスーザにより顧客へ知らせています。詐欺行為があれば、顧客は直ぐに自分のキリザットォードに何か悪いことが起きているとわわかるようになっています。トョヱゴキサュヱが成功する前に分離された通信路によって顧客へ知らせられるヨアラソイマ情報は、とても正確です。一般的な「ヤーゴ ID、パシワロード、使い捨てパシワロード」は、通常 (3)と特牐に(2)への防御となります。それらは通常 (1)、(4)、(5) への防御とはなりません。侵入テシト担当者は、認証サシテマのこの種のテシトを正確に行うために、認証サシテマが何から守ろうとしているのか熟考するべきです。言い換えれば、「ヤーゴ ID、パシワロード、使い捨てパシワロード」を認証サシテマに採用すると、(2)と(3)からは防御できるはずです。サシテマが強いパシワロードを効果的に強要しているか、及び、スッサュヱプーシ攻撃 ( 例、ヤーゴに望ましくない使い捨て情報を送信させる Cross Site Request Forgery 攻撃 )への耐性があるか、確認して下さい。 • 「ヤーゴ ID+)パシワロード+) 使い捨てパシワロード」に基づく認証の脆弱性タメート o 既知の弱さ81, 4, 5 o 既知の弱さ( 詳細 )8パシワロードは静的であり blended threat 攻撃 [8]( 例、SSLv2 ケネキサュヱに対する MITM 攻撃 )によって盗まれるので、(1)からの防御になりません。同じ使い捨てパシワロードを使って複数のトョヱゴキサュヱが可能なので、(4)と(5)からの防御になりません。 o ( 良く実装されている場合の) 強さ82, 3 o 強さ( 詳細 )8パシワロードについて強制するラーラがある場合のみ、(2)からの防御になります。使い捨てパシワロードを必要とするので、攻撃者は使い捨てパシワロードを送信して現在のヤーゴスッサュヱを妨妠害できないので(3)からの防御になります。[9] 以下では、異なるいつくかの MFAS の実装について分析します。「ワロヱソイマパシワロードトーキヱ」は、良く実装されているなら、(1)、(2)、(3)の防御になります。常に(5)からの防御にはなるとは限りません。(4)からの防御にはほとんどなりません。 • 「ワロヱソイマパシワロードトーキヱ」に基づく認証の脆弱性タメート o 既知の弱さ8 4、時々 5 o 既知の弱さ( 詳細 )8エヱョイヱバヱカヱギのボラウェアは、事前に設定されたラーラによってヨアラソイマに Web トョフィッキを改ざんすることができるので、OTP トーキヱは(4)からの防御になりません。この種の例には SilentBanker、Mebroot、Trojan Anserin といった悪意のあるケードがあります。エヱョイヱバヱカヱギのボラウェアは、HTTPS ヘーザに介在する web プルカサのように動作します。ボラウェアは侵入したキョイアヱトを完媍全に支配郤し、ヤーゴによるどのようなアキサュヱも記録されケヱトルーラされます。ボラウェアは正当なトョヱゴキサュヱを中止、あるいは送金のトョヱゴキサュヱを異なる場所へヨゾイリキトするかもしれません。パシワロードの再利用 (5)は OTP トーキヱに影響があるかもしれない脆弱性です。トーキヱは、例えば 30 150
<strong>OWASP</strong> Testing Guide v3.0 秒といったある期間だけ有効です。認証サシテマが使用済みのトーキヱを破棄しなければ、30 秒の寿命の間に、1 つのトーキヱがいくつかのトョヱゴキサュヱの認証に使わわれるかもしれません。 o ( 良く実装されている場合の) 強さ8 1,2,3 o 強さ( 詳細 )8トーキヱの寿命は通常非常に短いので、OTP トーキヱは効果的に(1)を軽減します。30 秒以内に攻撃者はトーキヱを盗み、エヱョイヱバヱカヱギの web コイトに入力してトョヱゴキサュヱを容易に行えるかもしれませんが、大規模攻撃では通常発生しにくいことです。OTP の HMAC は少なくとも 6 桁長なので、OTP トーキヱは通常 (2)の防御になります。OTP トーキヱのアラゲヨジマが十分安全であり予測不可能であるか確認して下さい。最後に、使い捨てトーキヱが常に必要とされるので OTP トーキヱは通常 (3)の防御になります。トーキヱを要求する手順がバイパシされないか確認して下さい。「ギヨッドォード、シキョッタォード、あるいは、正規ヤーゴだけが財布に入れるはずの情報」は、(1)、(2)、(3)の」防御になります。OTP トーキヱとは異なり(4)の防御にはなりません。特牐にギヨッドォードは(5)に関して脆弱です。どのケードも 1 回だけ使用できるので、シキョッタォードはパシワロードの再利用については脆弱ではありません。この種の技術のテシトにおいて、ギヨッドォードについては、特牐にパシワロードの再利用攻撃 (5)に注意を払って下さい。一般的に、ギヨッドォードに基づくサシテマは同じケードを何度もヨキウシトします。攻撃者が 1 つの正しい使い捨てケード( 例、ギヨッドォードの中のもの)について知れば、攻撃者が知っているケードをサシテマがヨキウシトするのを待つだけでよくなります。ギヨッドォードにおける数の組合せは限られているので、通常この脆弱性があります。( 例、ギヨッドォードに 50 の組合せがあるなら、攻撃者は、使い捨てケードについて尋ね、フィーラドを埋め、タメリヱザを確認するなどだけでよくなります。) 他によくある間遊いは、弱いパシワロードホヨサーです。ギヨッドォードの中のどの使い捨てパシワロードも、少なくとも 6 桁の長さであるべきです。blended threat 攻撃あるいは Cross Site Request Forgery 攻撃を組合せると、攻撃は非常に効果的になります。「X.509 証明書が格納された暗号デバイシ(USB トーキヱ、シボートォード)」は、(1)と(2)のよい防御となります。一般的に、それらが常に(3)、(4)、(5)の防御でもあると誤解されています。残念ながら、技術が最良のスカャヨティを約束しても最悪の実装がありえます。USB トーキヱはプヱゾー毎に異なります。いくつかは、プョギイヱされた時にヤーゴを認可し、プョギイヱされていないときに操作を認可しません。これは良い振る舞いのようですが、いくつかの USB トーキヱは暗黙的に認証してしまいます。それらは(3)からヤーゴを保護しません。( 例、スッサュヱ乗っ取り、自動的に転送されるキルシコイトシキヨプティヱギ) ォシソマな「GSM SMS ミッスーザとして送信されるョヱゾマに生成される OTP [SMSOTP]」は(1)、(2)、(3)、(5)の効果的な防御になります。良く実装されていれば(4)の危険も軽減します。以前のものとは異なり、このセヨャーサュヱはエヱョイヱバヱカヱギのイヱフョとの通信に独犉立した通信路を使います。このセヨャーサュヱは、正しく実装されていれば通常とても効果的です。通信路を分離することによってヤーゴに何が起きているのか知らせることが可能です。例えば、SMS 経由で使い捨てトーキヱが送信されたこと。「このトーキヱ 32982747 は、ニャーユーキ銀行の銀行口座 2345623 へ$1250.4 送金することを認可します。」先のトーキヱは、SMS ミッスーザの中で報告された一意のトョヱゴキサュヱを認可します。このようにヤーゴが意図した通りに正しい銀行口座へ送金されることをケヱトルーラできます。この節では、多要素認証サシテマのテシトについて、単純な方法論を説明し、現実的なサナヨエから例を示しました。これはォシソマ MFAS について分析するための出発点としても使えます。 151
Page 1 and 2:
OWASP テスティングガイド 2
Page 3 and 4:
OWASP Testing Guide v3.0 4.2 情
Page 5 and 6:
OWASP Testing Guide v3.0 4.8.9 SSI
Page 7 and 8:
OWASP Testing Guide v3.0 はじめ
Page 9 and 10:
OWASP Testing Guide v3.0 優先
Page 11 and 12:
OWASP Testing Guide v3.0 日本
Page 13 and 14:
OWASP Testing Guide v3.0 • Decemb
Page 15 and 16:
OWASP Testing Guide v3.0 プヨ
Page 17 and 18:
OWASP Testing Guide v3.0 OWASP は
Page 19 and 20:
OWASP Testing Guide v3.0 この文
Page 21 and 22:
OWASP Testing Guide v3.0 テステ
Page 23 and 24:
OWASP Testing Guide v3.0 ん。設
Page 25 and 26:
OWASP Testing Guide v3.0 • 支
Page 27 and 28:
OWASP Testing Guide v3.0 施者
Page 29 and 30:
OWASP Testing Guide v3.0 15% 50%
Page 31 and 32:
Page 33 and 34:
OWASP Testing Guide v3.0 スキャ
Page 35 and 36:
OWASP Testing Guide v3.0 対策
Page 37 and 38:
OWASP Testing Guide v3.0 開発
Page 39 and 40:
OWASP Testing Guide v3.0 セーシ
Page 41 and 42:
OWASP Testing Guide v3.0 ャヨテ
Page 43 and 44:
OWASP Testing Guide v3.0 析の
Page 45 and 46:
OWASP Testing Guide v3.0 [10] EU
Page 47 and 48:
OWASP Testing Guide v3.0 • 維
Page 49 and 50:
OWASP Testing Guide v3.0 フェー
Page 51 and 52:
OWASP Testing Guide v3.0 51
Page 53 and 54:
OWASP Testing Guide v3.0 http://www
Page 55 and 56:
OWASP Testing Guide v3.0 OWASP-AT-0
Page 57 and 58:
OWASP Testing Guide v3.0 OWASP-DS-0
Page 59 and 60:
OWASP Testing Guide v3.0 4.2.1 テ
Page 61 and 62:
OWASP Testing Guide v3.0 仮に ro
Page 63 and 64:
OWASP Testing Guide v3.0 概要
Page 65 and 66:
OWASP Testing Guide v3.0 例 2: こ
Page 67 and 68:
OWASP Testing Guide v3.0 Apache 1.3
Page 69 and 70:
OWASP Testing Guide v3.0 Date: Tue,
Page 71 and 72:
OWASP Testing Guide v3.0 オンラ
Page 73 and 74:
OWASP Testing Guide v3.0 診断
Page 75 and 76:
OWASP Testing Guide v3.0 • Apache
Page 77 and 78:
OWASP Testing Guide v3.0 Domain too
Page 79 and 80:
OWASP Testing Guide v3.0 [DBNETLIB]
Page 81 and 82:
OWASP Testing Guide v3.0 HTTP 404 -
Page 83 and 84:
OWASP Testing Guide v3.0 4.3.3 イ
Page 85 and 86:
OWASP Testing Guide v3.0 901/tcp op
Page 87 and 88:
OWASP Testing Guide v3.0 RC4-64-MD5
Page 89 and 90:
OWASP Testing Guide v3.0 以下
Page 91 and 92:
Page 93 and 94:
OWASP Testing Guide v3.0 このた
Page 95 and 96:
Page 97 and 98:
OWASP Testing Guide v3.0 もしく
Page 99 and 100: OWASP Testing Guide v3.0 いくつ
Page 101 and 102: OWASP Testing Guide v3.0 • コー
Page 103 and 104: OWASP Testing Guide v3.0 ウェブ
Page 105 and 106: OWASP Testing Guide v3.0 例 : わ
Page 107 and 108: OWASP Testing Guide v3.0 結果
Page 109 and 110: OWASP Testing Guide v3.0 ーシケ
Page 111 and 112: OWASP Testing Guide v3.0 ギレー
Page 113 and 114: OWASP Testing Guide v3.0 参考
Page 115 and 116: OWASP Testing Guide v3.0 XST に
Page 117 and 118: OWASP Testing Guide v3.0 Set-Cookie
Page 119 and 120: OWASP Testing Guide v3.0 4.4.9 多
Page 121 and 122: OWASP Testing Guide v3.0 す。認
Page 123 and 124: OWASP Testing Guide v3.0 正当
Page 125 and 126: OWASP Testing Guide v3.0 ッスー
Page 127 and 128: OWASP Testing Guide v3.0 • イヱ
Page 129 and 130: OWASP Testing Guide v3.0 • ヤー
Page 131 and 132: OWASP Testing Guide v3.0 GET /membe
Page 133 and 134: [DATA] 16 tasks, 1 servers, 1638 lo
Page 135 and 136: OWASP Testing Guide v3.0 更にヨ
Page 137 and 138: OWASP Testing Guide v3.0 スチシ
Page 139 and 140: OWASP Testing Guide v3.0 12. { 13.
Page 141 and 142: OWASP Testing Guide v3.0 o パシ
Page 143 and 144: OWASP Testing Guide v3.0 Set-Cookie
Page 145 and 146: OWASP Testing Guide v3.0 ブョウ
Page 147 and 148: OWASP Testing Guide v3.0 • CAPTCH
Page 149: OWASP Testing Guide v3.0 5. パシ
Page 153 and 154: OWASP Testing Guide v3.0 口座 A
Page 155 and 156: OWASP Testing Guide v3.0 4.5 スチ
Page 157 and 158: OWASP Testing Guide v3.0 保持
Page 159 and 160: OWASP Testing Guide v3.0 力要
Page 161 and 162: OWASP Testing Guide v3.0 CR - シ
Page 163 and 164: OWASP Testing Guide v3.0 通の
Page 165 and 166: OWASP Testing Guide v3.0 さらに
Page 167 and 168: OWASP Testing Guide v3.0 に設
Page 169 and 170: OWASP Testing Guide v3.0 • ウェ
Page 171 and 172: OWASP Testing Guide v3.0 4.5.4 暴
Page 173 and 174: OWASP Testing Guide v3.0 Content-Ty
Page 175 and 176: OWASP Testing Guide v3.0 Get ヨキ
Page 177 and 178: OWASP Testing Guide v3.0 https://[t
Page 179 and 180: OWASP Testing Guide v3.0 そうで
Page 181 and 182: OWASP Testing Guide v3.0 パステ
Page 183 and 184: OWASP Testing Guide v3.0 ディリ
Page 185 and 186: OWASP Testing Guide v3.0 問題
Page 187 and 188: OWASP Testing Guide v3.0 例えば
Page 189 and 190: OWASP Testing Guide v3.0 例 1: 電
Page 191 and 192: OWASP Testing Guide v3.0 論理
Page 193 and 194: OWASP Testing Guide v3.0 • キョ
Page 195 and 196: OWASP Testing Guide v3.0 外部邪
Page 197 and 198: OWASP Testing Guide v3.0 4.8.15 培
Page 199 and 200: OWASP Testing Guide v3.0 ヤーゴ
Page 201 and 202:
OWASP Testing Guide v3.0 • OWASP
Page 203 and 204:
OWASP Testing Guide v3.0 email の
Page 205 and 206:
OWASP Testing Guide v3.0 ファイ
Page 207 and 208:
OWASP Testing Guide v3.0 • CGISec
Page 209 and 210:
OWASP Testing Guide v3.0 攻撃
Page 211 and 212:
OWASP Testing Guide v3.0 4.8.4 ク
Page 213 and 214:
Page 215 and 216:
OWASP Testing Guide v3.0 Flash の
Page 217 and 218:
OWASP Testing Guide v3.0 ブラチ
Page 219 and 220:
OWASP Testing Guide v3.0 $username
Page 221 and 222:
OWASP Testing Guide v3.0 SELECT fie
Page 223 and 224:
OWASP Testing Guide v3.0 • Chris
Page 225 and 226:
OWASP Testing Guide v3.0 ORASSO SSO
Page 227 and 228:
OWASP Testing Guide v3.0 PL/SQL 除
Page 229 and 230:
OWASP Testing Guide v3.0 これは
Page 231 and 232:
OWASP Testing Guide v3.0 4.8.5.2 MY
Page 233 and 234:
OWASP Testing Guide v3.0 if(version
Page 235 and 236:
OWASP Testing Guide v3.0 このよ
Page 237 and 238:
OWASP Testing Guide v3.0 • スッ
Page 239 and 240:
OWASP Testing Guide v3.0 Accept: te
Page 241 and 242:
OWASP Testing Guide v3.0 例 8: 実
Page 243 and 244:
OWASP Testing Guide v3.0 このキ
Page 245 and 246:
OWASP Testing Guide v3.0 説明 :
Page 247 and 248:
OWASP Testing Guide v3.0 ョー無
Page 249 and 250:
OWASP Testing Guide v3.0 例えば
Page 251 and 252:
OWASP Testing Guide v3.0 • 標
Page 253 and 254:
OWASP Testing Guide v3.0 脆弱
Page 255 and 256:
OWASP Testing Guide v3.0 関連
Page 257 and 258:
OWASP Testing Guide v3.0 4.8.8 XML
Page 259 and 260:
OWASP Testing Guide v3.0 $inputValu
Page 261 and 262:
OWASP Testing Guide v3.0 script]]>
Page 263 and 264:
OWASP Testing Guide v3.0 w1s3c 500
Page 265 and 266:
OWASP Testing Guide v3.0 上記
Page 267 and 268:
OWASP Testing Guide v3.0 string(//u
Page 269 and 270:
OWASP Testing Guide v3.0 必要
Page 271 and 272:
OWASP Testing Guide v3.0 Query: FET
Page 273 and 274:
Page 275 and 276:
OWASP Testing Guide v3.0 この pos
Page 277 and 278:
OWASP Testing Guide v3.0 バチフ
Page 279 and 280:
OWASP Testing Guide v3.0 strcpy(chu
Page 281 and 282:
OWASP Testing Guide v3.0 char buff[
Page 283 and 284:
OWASP Testing Guide v3.0 この脆
Page 285 and 286:
OWASP Testing Guide v3.0 フェー
Page 287 and 288:
OWASP Testing Guide v3.0 ヂー
Page 289 and 290:
OWASP Testing Guide v3.0 1. 前述
Page 291 and 292:
OWASP Testing Guide v3.0 ェブイ
Page 293 and 294:
OWASP Testing Guide v3.0 もちろ
Page 295 and 296:
OWASP Testing Guide v3.0 4.9.1 SQL
Page 297 and 298:
OWASP Testing Guide v3.0 • テシ
Page 299 and 300:
OWASP Testing Guide v3.0 以下
Page 301 and 302:
OWASP Testing Guide v3.0 . . . } }
Page 303 and 304:
OWASP Testing Guide v3.0 4.9.7 リ
Page 305 and 306:
OWASP Testing Guide v3.0 ギレー
Page 307 and 308:
OWASP Testing Guide v3.0 ビシは
Page 309 and 310:
OWASP Testing Guide v3.0 http://:/
Page 311 and 312:
OWASP Testing Guide v3.0 このコ
Page 313 and 314:
OWASP Testing Guide v3.0 • Seekda
Page 315 and 316:
OWASP Testing Guide v3.0 And the
Page 317 and 318:
OWASP Testing Guide v3.0 例 : ブ
Page 319 and 320:
OWASP Testing Guide v3.0 ミッス
Page 321 and 322:
OWASP Testing Guide v3.0 論点
Page 323 and 324:
OWASP Testing Guide v3.0 のある
Page 325 and 326:
OWASP Testing Guide v3.0 ... 2
Page 327 and 328:
OWASP Testing Guide v3.0 ブラチ
Page 329 and 330:
OWASP Testing Guide v3.0 焦点
Page 331 and 332:
OWASP Testing Guide v3.0 ウシト
Page 333 and 334:
OWASP Testing Guide v3.0 Yahoo! Mai
Page 335 and 336:
OWASP Testing Guide v3.0 ヱトだ
Page 337 and 338:
OWASP Testing Guide v3.0 ここで
Page 339 and 340:
OWASP Testing Guide v3.0 ここで
Page 341 and 342:
OWASP Testing Guide v3.0 この攻
Page 343 and 344:
OWASP Testing Guide v3.0 攻撃
Page 345 and 346:
OWASP Testing Guide v3.0 場合
Page 347 and 348:
OWASP Testing Guide v3.0 報告
Page 349 and 350:
OWASP Testing Guide v3.0 OWASP-AT-0
Page 351 and 352:
OWASP Testing Guide v3.0 されま
Page 353 and 354:
OWASP Testing Guide v3.0 • Sandsp
Page 355 and 356:
OWASP Testing Guide v3.0 Web Appli
Page 357 and 358:
Page 359 and 360:
OWASP Testing Guide v3.0 0x7ffffffe
Page 361 and 362:
OWASP Testing Guide v3.0 %2A%28%7C%
Page 363 and 364:
OWASP Testing Guide v3.0 したが
show all

OWASP ãã¹ãã£ã³ã°ã¬ã¤ã

Create successful ePaper yourself

Delete template?

Save as template?

OWASP ãã¹ãã£ã³ã°ã¬ã¤ã