OWASP テスティングガイド

ウェブ・アプヨクーサュヱの 中 には、デーソプーシに 格 納 された 値 やパョミーソを 使 って、 動 的 なヘーザを 生 成 するものがあ
ります。アプヨクーサュヱがデーソプーシにデーソを 追 加 する 時 、 特牐 別 に 作 成 したパシトョバーコラ 文 字 列 を 挿 入 できるかも
しれません。この 種 のスカャヨティ 問 題 は 発 見 が 困 難 です。 挿 入 機 能 内 のパョミーソは 内 部邪 で「 安 全 」そうに 見 えるからです
が、 実 は 遊 います。
さらに、セーシケードを 精 査 すると、 無 効 な 入 力 の 取 扱 いをコホートする 関 数 を 解 析 できます。 警 告 やウョーを 避遪 け、 無 効 な
入 力 を 妥妞 当 にしようとする 開 発 者 もいます。これらの 機 能 は 普 通 、スカャヨティ 不 具 合 を 引 き 起 こし 勝 ちです。
これらの 命 令 を 持 つウェブ・アプヨクーサュヱを 考 えてみましょう:
filename = Request.QueryString(“file”);
Replace(filename, “/”,”\”);
Replace(filename, “..\”,””);
不 具 合 のテシトは 以 下 の 文 字 列 によって 成 されます:
file=....//....//boot.ini
file=....\\....\\boot.ini
file= ..\..\boot.ini
参 考 文 献
ホワロアテペーパー
• スカャヨティ・ヨシキ - http://www.schneier.com/crypto-gram-0007.html[3]
ヂール
• phBB アソッタミヱトムザャーラのディリキトヨ・トョバーコラ HTTP POST イヱザェキサュヱ(phpBB Attachment Mod
Directory Traversal HTTP POST Injection) - http://archives.neohapsis.com/archives/fulldisclosure/2004-12/0290.html[4]
• ウェブ・プルキサ(Burp Suite[5], Paros[6], WebScarab[7])
• 符 号 化 / 復 号 化 ツーラ
• 文 字 列 検 索 ケボヱド"grep" - http://www.gnu.org/software/grep/
4.6.2 認 可 スキーボの 迂 回 のテステ (OWASP-AZ-002)
概 要
この 種 のテシトは、 各 役 割 / 特牐 権 について 予 約 された 機 能 /ヨセーシへのアキスシを 得 るために、 認 可 シカーボがどのように 実
装 されているかを 検 証 することに 集 中 します。
184