OWASP テスティングガイド

OWASP Testing Guide v3.0
. . .
}
}
. . .
このサヱプラな 例 で、ヤーゴがラープォウヱソをケヱトルーラできることがわわかります。このラープ 内 のケードがヨセーシを 非
常 に 必 要 とするものであり、 攻 撃 者 が 多 くの 回 数 実 行 させることができる 場 合 、 他 のヨキウシトの 処 理 のパフェーボヱシを 下
げ、DoS 状牮 態 を 引 き 起 こすことができるかもしれません。
ブラチクボチクステステ 及 びびその 例
ヨキウシトが 例 えば 同 様 の 多 くの 名 前 と 値 のヘア( 例 えば 入 力 1、 入 力 2、 入 力 3 の 名 前 と 値 のヘアを 読 むために”3”を 送 る)
を 読 むために 使 用 される 数 値 と 一 緒 にコーバに 送 信 され、さらにコーバがこの 数 値 に 厳 密 な 上 限 を 設 けていない 場 合 、ア
プヨクーサュヱは 非 常 に 長 い 時 間 ラープします。テシソーはこの 場 合 、 非 常 に 大 きな 値 で、かつ 適遚 切 な 値 、 例 えば
99999999 をコーバに 送 ります。I
他 の 問 題 は、 悪 意 のあるヤーゴが 非 常 に 大 きな 名 前 と 値 のヘアをコーバに 直 接 送 る 場 合 です。アプヨクーサュヱは、アプヨ
クーサュヱコーバが 全 ての 名 前 と 値 のヘアを 最 初 にパーシすることを 直 接 防 ぐことはできませんが、DoS を 防 ぐためにアプヨ
クーサュヱは、 処 理 する 名 前 と 値 のヘアの 数 に 制 限 を 設 けずに 送 信 されたものについてラープすべきではありません。 例
えば、テシソーは 同 じ 名 前 で 遊 う 値 を 持 つヘアを(タェッキペッキシフィーラドの 送 信 のサポャリーサュヱを 行 って) 複 数 送 るこ
とができます。そして、その 特牐 定 の 名 前 と 値 のヘアの 値 を 見 ると、ブョウゴが 送 信 したすべての 値 の 配郤 列 が 返 されます。
こうしたウョーがアプヨクーサュヱ 内 で 起 こったと 考 えられる 場 合 、テシソーは、 小 さなシキヨプトを 使 ってヨキウシトペディに 名
前 と 値 のヘアを 大 量 に 繰 り 返 し 送 ることができます。もし 10 回 の 繰 り 返 しと 1000 回 の 繰 り 返 しでリシホヱシ 時 間 に 目 立 つ 遊
いがあれば、このソイプの 問 題 を 示 唆 しているかもしれません。
一 般 的 に、アプヨクーサュヱに 渡 される hidden 値 を 確 実 にタェッキしましょう。こうした 値 は 特牐 定 のケードスギミヱトの 実 行 回
数 において 何 らかの 役 目 を 果 たしているかもしれません。
ギレーボチクステステ 及 びびその 例
アプヨクーサュヱ 内 部邪 についてある 程 度 詳 細 に 知 っていれば、 同 じケードを 大 量 にラープさせる 入 力 値 の 場 所 を 知 るのに
役 立 つかもしれません。しかしながら、このテシト 手 法 はブョッキペッキシテシトと 同 様 のパソーヱです。
4.9.6 ヤーザ 提 供 データのデァスクへの 書 き 込 み (OWASP-DS-006)
概 要
このテシトでは、ルギデーソでソーグットのディシキをいっぱいにして DoS 状牮 態 を 引 き 起 こすことができないかどうかをタェッキ
します。
301