OWASP テスティングガイド

OWASP Testing Guide v3.0
15%
50%
プロススレパャー
と 手 動 検 査
ケーデレパャー
侵 入 テステ
35%
ウェブアプリクーシュンヱスキメトについてのミム
図 4:テステ 技 法 によるテステ 実 施 比 率
多 くの 組 織 が、 自 動 化 されたウェブアプヨクーサュヱシカメナを 使 い 始妵 めました。ウェブアプヨクーサュヱシカメナは、テシト 計
画 において 一 定 の 場 所 を 占 めていることは 間 遊 いありませんが、なぜ、 自 動 化 されたブョッキペッキシテシトが、 現 在 も、また、
今 後 も 効 果 的 であるとは 信 じられないかについて、いくつかの 基 本 的 な 問 題 点 を 強 調 しておきたいと 考 えます。これらの 問
題 点 を 強 調 することによって、ウェブアプヨクーサュヱシカメナの 使 用 を 思 いとどまらせようとしているわわけではありません。そ
うではなく、ウェブアプヨクーサュヱシカメナの 限 界 が 理 解 されるべきであって、テシトの 枠 組 みが 適遚 切 に 計 画 されるべきであ
ると 言 いたいのです。( 注 8OWASP は、ウェブアプヨクーサュヱシカメナのプヱタボーカヱギプョットベーマを 開 発 するために
活 動 しています。' 次 の 例 で、 自 動 化 されたブョッキペッキシテシトがなぜ 効 果 的 ではないかを 示 します。
例 18ボザッキパョミーソ
「magic」という 変 数 名 とその 値 のヘアを 受 け 取 る、 単 純 なウェブアプヨクーサュヱを 想 像 してください。 単 純 にするために、
GET のヨキウシトは、 次 のようにします8
http://www.host/application?magic=value
さらに 単 純 化 するために、 変 数 の 値 は、ASCII の 文 字 の a - z ( 大 文 字 、または、 小 文 字 'と、 整 数 の 0 - 7 とします。このアプ
ヨクーサュヱの 設 計 者 はテシトの 際 に、 管 理 者 だけのバッキドア( 裏 口 'を 作 成 しましたが、 無 頓 着 な 立 会 人 に 発 見 されない
よう、 分 かりにくくしました。 変 数 の 値 として sf8g7sfjdsurtsdieerwqredsgnfg8d (30 文 字 'を 送 信 することによって、ヤーゴはル
ギイヱすることができ、アプヨクーサュヱの 全 体 の 制 御 が 可 能 な 管 理 者 用 画 面 が 表 示 されます。HTTP のヨキウシトは、こうなり
ます8
http://www.host/application?magic= sf8g7sfjdsurtsdieerwqredsgnfg8d
29