OWASP テスティングガイド

OWASP Testing Guide v3.0
4.5.4 暴 露 されたスチシュンヱ 変 数 のテステ(OWASP-SM-004)
概 要
スッサュヱ・トーキヱ(キッカー、スッサュヱ ID、 隠 されたフィーラド)はもし 暴 露 されると、 犠牢 牲牌 者 になりすまし 遊 法 にアプヨクー
サュヱにアキスシできる 機 会 を 攻 撃 者 に 与 えます。そのように、スッサュヱ・トーキヱはすべての 瞬 間 に、 盗 聴 から 守 られてい
ることが 重 要 です。 特牐 にキョイアヱトのブョウゴとアプヨクーサュヱコーバーの 間 で 受 け 渡 している 間 は。
問 題 の 短 い 記 述
ここでの 情 報 は、 伝 送 路 のスカャヨティがどのように 機 密 性 の 高 いスッサュヱ ID の 伝 送 に 関 わわるかにあって、 一 般 的 なデー
ソの 話 ではありません。さらにコイトによって 提 供 されるデーソに 対 するカメッサャや 伝 送 よりもさらに 厳 格 かもしれません。
個 人 的 なプルキサを 使 って、 各 ヨキウシトとリシホヱシについて 以 下 を 確 かめられます:
• 使 用 されたプルトケラ( 例 えば HTTP 対 HTTPS)
• HTTP ブッゾ
• ミッスーザ 本 体 ( 例 えば POST 又 はヘーザ 内 容 )
キョイアヱトとコーバ 間 でスッサュヱ ID のデーソが 受 け 渡 される 時 には 毎 回 、cache と privacy の 命 令 を 確 認 すべきです。こ
こで 言 う 伝 送 スカャヨティは、GET や POST ヨキウシトで 渡 される Session ID、ミッスーザ 本 体 や 妥妞 当 な HTTP ヨキウシトで 渡 る
他 の 手 段 のことを 指 しています。
ブラチクボチクステステと 例
暗 号 化 とスチシュンヱ・テークンヱの 再 利 用 についての 脆 弱 性 のテステ:
盗 聴 に 対 する 防 御 は SSL 暗 号 化 によって 提 供 されることが 多 いものの、 他 のトヱネラ 化 や 暗 号 化 と 組 み 合 わわされることもあ
ります。スッサュヱ ID 自 身 が 保 護 されるのであって、それによって 表 現 されるデーソではないので、スッサュヱ ID の 暗 号 化
や 暗 号 化 装 置 によるハッサャかは、 伝 送 路 の 暗 号 化 とは 分 けて 考 えるべきであることに 注 意 してください。もし 万 一 攻 撃 者
がアプヨクーサュヱにアキスシを 得 るためにスッサュヱ ID を 提 示 できるなら、ヨシキを 緩 和 するために、その 伝 送 時 には 保 護 し
なくてはなりません。したがって、どのようなヨキウシトやリシホヱシに 対 しても 使 用 される 機 構 に 関 わわらず( 例 えば 隠 されたフ
ェーマ・」フィーラド)、スッサュヱ ID が 受 け 渡 されるところでは、 暗 号 化 はデフェラトかつ 強 制 であることが 確 実 でなくてはなり
ません。 安 全 なコイトと 安 全 でないコイトの 間 の 十 分 な 分 離 が 実 施 されているかを 確 認 するために、アプヨクーサュヱとのや
りとりの 間 に https://を http://で 置 き 換 えるといった 簡 単 なタェッキが、フェーマのホシトの 修 正 と 一 緒 に 成 されるべきです。
注 記 : もしコイトにヤーゴがスッサュヱ ID と 共 に 追 跡 され、しかしスカャヨティが 存 在 しない 要 素 ( 例 えば 登 録 されたヤーゴが
どの 公 開 ドカャミヱトをゾウヱルードするか)も 存 在 するなら、 本 質 的 に 異 なるスッサュヱ ID を 使 うべきです。したがって、スッ
サュヱ ID はキョイアヱトが 安 全 な 要 素 から 安 全 でない 要 素 に 切 り 替 わわる 際 に、 異 なるものが 使 用 されているのを 確 認 するた
めに、 監 視 されるべきです。
期 待 される 結 果 :
認 証 が 成 功 した 時 には 毎 回 、ヤーゴは 以 下 を 受 け 取 ることを 期 待 すべきです:
• 異 なるスッサュヱ・トーキヱ
171