OWASP テスティングガイド

参 考 情 報
ホワロアテペーパー
[1] [Definition] Wikipedia, Definition of Two Factor Authentication
http://en.wikipedia.org/wiki/Two-factor_authentication
[2] [SCHNEIER] Bruce Schneier, Blog Posts about two factor authentication 2005,
http://www.schneier.com/blog/archives/2005/03/the_failure_of.html
http://www.schneier.com/blog/archives/2005/04/more_on_twofact.html
[3] [Finetti] Guido Mario Finetti, "Web application security in un-trusted client scenarios"
http://www.scmagazineuk.com/Web-application-security-in-un-trusted-client-scenarios/article/110448
[4] [SilentBanker Trojan] Symantec, Banking in Silence
http://www.symantec.com/enterprise/security_response/weblog/2008/01/banking_in_silence.html
[5] [Nordea] Finextra, Phishing attacks against two factor authentication, 2005
http://www.finextra.com/fullstory.asp?id=14384
[6] [SMSOTP] Bruce Schneier, “Two-Factor Authentication with Cell Phones”, November 2004,
http://www.schneier.com/blog/archives/2004/11/twofactor_authe.html
[7] [Transaction Authentication Mindset] Bruce Schneier, "Fighting Fraudulent Transactions"
http://www.schneier.com/blog/archives/2006/11/fighting_fraudu.html
[8] [Blended Threat] http://en.wikipedia.org/wiki/Blended_threat
[9] [GUNTEROLLMANN] Gunter Ollmann, “Web Based Session Management. Best practices in managing HTTP-based client sessions”,
http://www.technicalinfo.net/papers/WebBasedSessionManagement.htm
4.4.10 レースケンヱデァシュンヱのテステ (OWASP-AT-010)
概 要
リーシケヱディサュヱとは、ある 処 理 がソイポヱギによっては 他 の 処 理 に 影 響 し 予 期 せぬ 結 果 を 生 み 出 すことです。ボラタシ
リッドのアプヨクーサュヱにおいて、 同 じデーソついて 処 理 が 実 行 される 際 に 見 られます。リーシケヱディサュヱはその 性 質
のためテシトが 難 しいです。
解 説
あるプルスシが 他 のイプヱトの 順 序 あるいはソイポヱギに 厳 密 あるいは 予 期 せずに 依 存 すると、リーシケヱディサュヱが 発 生
するかもしれません。ウェブアプヨクーサュヱにおいては 多 くのヨキウシトが 同 時 に 処 理 され、 開 発 者 は 並 列 実 行 についてフ
リーマワローキ、あるいは、コーバ、プルギョポヱギ 言 語 に 任 せてしまうかもしれません。 以 下 では 単 純 化 された 例 を 用 いて、 両
方 のヤーゴ(シリッド)が 同 じアォウヱトでルギイヱし 預 金 口 座 へ 送 金 しようとする 場 合 について、ウェブアプヨクーサュヱのトョ
ヱゴキサュヱ 処 理 における 潜 在 的 な 並 列 実 行 の 問 題 を 説 明 します。
152