認証の脆弱性 – ラボ #5 応答タイミングによるユーザー名の列挙 from infosecwriteups.com security summary Twitter Facebook はてブ Pocket LINE コピー 2023.12.11 infosecwriteups.comAuthentication Vulnerabilities- Lab #5 Username enumeration via response timing - infosecwriteups.com 上記の例を使用すると、Web アプリは最初にユーザー名をチェックし、より速い応答時間を返します。 攻撃ではユーザー名と同じ攻撃タイプが使用され、ペイロードの位置が削除されます。 ユーザーが間違っている場合は、「無効なユーザー名」という応答が返されます。 ただし、パスワードが長いため、応答コードが遅くなります。 ?Forwarded-For ヘッダーを追加すると、リクエストがインターセプトされます。 ここで、ログイン コードをブルート フォース攻撃してみましょう。
コメント