OWASP テスティングガイド

結 果 :
認 証 に 必 要 なファイヤーウォールのバージョンを 取 得 :
Error 407
FW-1 at : Unauthorized to access the document.
Authorization is needed for FW-1.
The authentication required by FW-1 is: unknown.
Reason for failure of last attempt: no user
ギレアボチクステステとその 事 例
テステ 項 目 :
アキスシ 拒 否 するディリキトヨの 列 挙
http:///
結 果 :
Directory Listing Denied
This Virtual Directory does not allow contents to be listed.
Forbidden
You don’t have permission to access / on this server.
参 照
ホワロアテペーパー:
[1] [RFC2616] Hypertext Transfer Protocol – HTTP/1.1
4.3 設 定 管 理 のテステ
基 盤 やネットワローキトホルザ 構 成 の 分 析 によって、 対 象 のウェブアプヨクーサュヱがより 明 確 になる 場 合 があります。セーシケ
ードや 許 可 する HTTP ミセッドの 種 類 、 管 理 者 機 能 の 存 在 、 認 証 方 法 や 基 盤 関 連連 の 設 定 情 報 など、さまざまな 情 報 を 取 得
することができます。
4.3.1 SSL/TLS のテシト (OWASP-CM-001)
SSL や TLS は、 暗 号 化 をコホートし 機 密 性 を 確 保 するためのスカャアなタメネラを 提 供 するプルトケラで、 主 に 認 証 情 報 な
どを 送 信 する 際 に 用 いられます。
これらのプルトケラの 導 入 するにあたってのスカャヨティ 上 の 問 題 点 を 考 慮 する 場 合 、 高 い 強 度 を 持 つ 暗 号 アラゲヨジマを
導 入 し、 適遚 切 に 実 装 されているか 確 認 することが 重 要 です。
4.3.2 DB ヨシナーのテシト (OWASP-CM-002)
デーソプーシ 設 定 の 際 、DB 管 理 者 の 多 くは DB ヨシナーのケヱホーネヱトの 安 全 性 を 十 分 考 慮 していません。もし 手 動 ある
いは 自 動 的 な 処 理 を 用 いて 不 適遚 切 な 設 定 、 精 査 をした 場 合 、ヨシナーから 構 成 の 設 定 、もしくは 稼 動 デーソプーシのイヱシ
ソヱシ 情 報 に 匹 敵 するほどの 重 要 な 情 報 を 取 得 することができます。これら 明 らかにされた 情 報 は、テシト 者 にとって、 後 に
説 明 しますが、より 影 響 力 の 高 いテシトのデーソとして 用 いることができる 場 合 があり、とても 役 に 立 ちます。
82