真正性メカニズムの回避の可能性をテストする

認証メカニズムをバイパスしようとする試みは、ユーザーが意図していないリソースに不正な方法でアクセスすることが可能であることを確認することを目的としています。 Burp Suite を使用して これらの種類のエラーをテストし、テスト自体には次のチェックが含まれている必要があります。


  • テスト リソースを直接参照して、認証プロセスをバイパスします。 たとえば、サインインすると、テストするアプリケーションによって、ユーザーに機密文書をダウンロードできます。 ペンテスターは、ドキュメントへの直接リンク (www.faktury.pl/zbiordokumentow/faktura2018.pdf など)を知っている場合、事前の許可なしにダウンロードできないかどうかを確認する必要があります。
  • リソースおよびセッションパラメータの変更を試みます。 WEB アプリケーションでは、多くの場合、特定のユーザーがリソースにアクセスする必要があるかどうかを確認することは、セッション パラメーターに基づいて行われます。これらのパラメータを変更すると、権限の低いユーザーが不正なデータにアクセスする可能性があります。 たとえば、セッション Cookie には admin=0が含まれています。 Pentester は、admin = 1 にこのフィールドを変更した後、新しい機能や情報にアクセスしないことを確認する必要があります。
  • セッション ID を予測します。特定のユーザーに特定のセッションを割り当てる必要がある値は、一意であるだけでなく、予測不能な値にする必要があります。 ペンタスターのタスクは、連続して生成されたセッション ID が、攻撃者が予測できないように十分に高いエントロピーを特徴付けていることを確認することです。

テストされたアプリケーションの1つで、ユーザーの請求書が配置されているアドレスを予測することによって、ユーザーの請求書に関する不正な情報を取得することが可能でした: サーバー/メディア/ドキュメント/請求書/請求書1.pdf。 アプリケーションの後続のユーザーの請求書を見つけることは、URLの最後にある請求書番号の列挙で構成されていました。

URL の末尾にある請求書番号の列挙

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!).
Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

ブックマーク パーマリンク.

Podziel się swoją opinią na temat artykułu