OWASP テスティングガイド

こで、 最 後 の「/」が myapp の 後 になくてはならないことに 注 意 してください。もしなければ、「myapp-exploited」のよ
うな「myapp」に 合 致 するどのようなパシにでも、ブョウゴはキッカーを 送 ります。
• Expires 属 性 - この 属 性 が 将 来 の 時 点 に 設 定 され、 機 密 性 の 高 い 情 報 を 含 まないことを 検 証 してください。 例 えば、
あるキッカーが「; expires=Fri、 13-Jun-2010 13:45:29 GMT 」と 設 定 されていて、 現 在 2008 年 6 月 10 日 なら、キッカ
ーを 調 査 したくなるはずです。そのキッカーがスッサュヱ・トーキヱでヤーゴのハード・ドョイブに 格 納 されている 場
合 、このキッカーにアキスシできる 攻 撃 者 や( 管 理 者 のような)ルーォラ・ヤーゴは、このトーキヱを 再 送 することで 有
効 期 限 が 過遃 ぎるまでアプヨクーサュヱにアキスシできます。
参 考 文 献
ホワロアテペーパー
• RFC 2965 – HTTP 状牮 態 管 理 機 構 (HTTP State Management Mechanism) - http://tools.ietf.org/html/rfc2965
• RFC 2616 – ハイパーテカシト 転 送 プルトケラ(Hypertext Transfer Protocol) – HTTP 1.1 -
http://tools.ietf.org/html/rfc2616
ヂール
データ 横 取 り 用 プロクシ:
• OWASP: Webscarab - http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
• Dafydd Stuttard: Burp proxy - http://portswigger.net/proxy/
• MileSCAN: Paros Proxy - http://www.parosproxy.org/download.shtml
ブラウザ・プラギアンヱ:
• "TamperIE" for Internet Explorer - http://www.bayden.com/TamperIE/
• Adam Judson: "Tamper Data" for Firefox - https://addons.mozilla.org/en-US/firefox/addon/966
4.5.3 スチシュンヱの 固 定 化 のテステ(OWASP-SM_003)
概 要
成 功 したヤーゴの 認 証 の 後 、アプヨクーサュヱがキッカーを 更 新 しない 場 合 、スッサュヱの 固 定 化 による 脆 弱 性 が 見 つかる
可 能 性 があり、ヤーゴが 攻 撃 者 に 知 られたキッカーを 使 わわざるを 得 ない 場 合 があります。その 場 合 、 攻 撃 者 がヤーゴ・」スッ
サュヱを 盗 めるかもしれません。(スッサュヱ・ハイザメッキ)
問 題 の 記 述
スッサュヱの 固 定 化 による 脆 弱 性 は 以 下 の 場 合 に 起 こります:
168