OWASP テスティングガイド

OWASP Testing Guide v3.0
• ウェブ・」アプヨクーサュヱがヤーゴを、 最 初 に 既 存 のスッサュヱ ID を 無 効 化 せずに 認 証 し、それによりそのヤーゴに
既 に 関 連連 付 けられたスッサュヱ ID を 使 い 続 けてしまう 場 合 。
• 攻 撃 者 があるヤーゴに 対 し 既 知 のスッサュヱ ID を 強 要 でき、 一 旦 ヤーゴが 認 証 すると、 攻 撃 者 が 認 証 されたスッ
サュヱへのアキスシしてしまう 場 合 。
スッサュヱ 固 定 化 の 脆 弱 性 を 乱 用 する 場 合 は 一 般 に、 攻 撃 者 はウェブ・」アプヨクーサュヱに 新 たなスッサュヱを 生 成 し、 関 係
するスッサュヱ 識 別 子婡 を 記 録 します。それから、 攻 撃 者 は 犠牢 牲牌 者 に、 同 じスッサュヱ 識 別 子婡 を 使 ってコーバに 認 証 するように
仕 向 け、 活 動 中 のスッサュヱを 通 じてそのヤーゴのアォウヱトへのアキスシを 取 得 します。
さらに、 上 述 の 問 題 は HTTP を 介 してスッサュヱ 識 別 子婡 を 発 行 し、ヤーゴを HTTPS のルギイヱ・フェーマにヨゾイリキトするた
コイトにとって 問 題 です。 認 証 でそのスッサュヱ 識 別 子婡 が 再 発 行 されないと、その 識 別 子婡 は 盗 聴 され、 攻 撃 者 によってスッサ
ュヱを 乗 っ 取 るために 使 わわれるかもしれません。
ブラチクボチクステステと 例
スチシュンヱ 固 定 化 の 脆 弱 性 のテステ:
最 初 の 段 階 はテシトされるコイトに( 例 えば www.example.com)にヨキウシトを 行 うことです。 以 下 のようにヨキウシトした 場 合 :
GET www.example.com
以 下 の 応 答 を 得 るでしょう:
HTTP/1.1 200 OK
Date: Wed, 14 Aug 2008 08:45:11 GMT
Server: IBM_HTTP_Server
Set-Cookie: JSESSIONID=0000d8eyYq3L0z2fgq10m4v-rt4:-1; Path=/; secure
Cache-Control: no-cache="set-cookie,set-cookie2"
Expires: Thu, 01 Dec 1994 16:00:00 GMT
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html;charset=Cp1254
Content-Language: en-US
アプヨクーサュヱが 新 たなスッサュヱ 識 別 子婡 JSESSIONID=0000d8eyYq3L0z2fgq10m4v-rt4:-1 を、キョイアヱトに 設 定 する 様 子婡
がわわかります。
次 に、そのアプヨクーサュヱに、 以 下 のような POST HTTPS でうまく 認 証 し:
POST https://www.example.com/authentication.php HTTP/1.1
Host: www.example.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.8.1.16) Gecko/20080702
Firefox/2.0.0.16
Accept:
text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*
;q=0.5
Accept-Language: it-it,it;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://www.example.com
169