OWASP テスティングガイド

--MIME_boundary
Content-Type: image/tiff
Content-Transfer-Encoding: base64
Content-ID:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
--MIME_boundary
Content-Type: image/jpeg
Content-Transfer-Encoding: binary
Content-ID:
...Raw JPEG image..
--MIME_boundary--
予 想 される 結 果 :
eicar テシト 用 ウイラシファイラは、ベシトコーバに 置 かれるのは 許 可 されます。このファイラは、 TIFF ファイラとして 再 配郤 布 さ
れることがあります。
参 考 文 献
技 術 解 説 書
Xml.com - http://www.xml.com/pub/a/2003/02/26/binaryxml.html
W3C: "Soap with Attachments" - http://www.w3.org/TR/SOAP-attachments
ヂール
EICAR (http://www.eicar.org/anti_virus_test_file.htm)
OWASP WebScarab (http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project)
4.10.7 リプレアテステ (OWASP-WS-007)
概 要
このスキサュヱは、ウェブコービシのヨプリイ 脆 弱 性 をテシトすることについて 説 明 します。ヨプリイ 攻 撃 の 脅 威姕 は、 攻 撃 者 が
正 当 なヤーゴと 認 定 された 状牮 態 でなりすますことができ、 不 正 行 為 を 検 知 されずに 犯物 すことが 可 能 であることです。
論 点 解 説
ヨプリイ 攻 撃 は、「man-in-the-middle」 攻 撃 ( 中 間 者 攻 撃 'に 分 類 され、 本 来 の 送 信 者 になりすました 攻 撃 者 により、ミッスー
ザは 傍 受 され 再 送 信 されます。ウェブコービシに 対 して、HTTP 以 外 の 通 信 と 同 様 に、Ethereal や Wireshark のようなシニフ
ァーは、ウェブコービシに 送 信 された 通 信 を 捕 捉 することができます。また、WebScarab のようなツーラを 使 って、テシト 者 は
対 象 のコーバにパクットを 再 送 信 できます。 攻 撃 者 は、 本 来 のミッスーザの 再 送 信 を 試 し、あるいは、ミッスーザの 変 更 を
試 して、ベシトコーバのスカャヨティを 侵 害 することができます。
326