攻撃対象以外のサイトから入手した
IDとパスワードのリストで
ログインを試行する
対策
・同じIDで、何回かログインを失敗した場合
IDを無効にする
・他のサイトと、ID、パスワードを分けるように
利用者に依頼する
・ログインできる端末を制限する
・登録されている端末以外からのログイン時に
メールを出す
などなど
PR
HTTPヘッダーに、改行コード(CR+LF)を挿入する
攻撃対象等によって
・HTTPヘッダーインジェクション
・HTTPレスポンス分割攻撃
・メールインジェクション
等に分割される
Webアプリケーションで、シェルの呼び出し方に問題がある場合
不正なOSのコマンドが実行されることがある
その結果
・Webサーバ内部の情報が漏えいする
・別のサーバへの攻撃の踏み台となる
ことがある
・署名が有効だと判断できること
・偽造が不可能であること
ログイン中のユーザに、リクエストを強制的に実行させる
その結果、ログイン中のユーザアカウントで、各種変更や、意図せぬ商品の購入などが行われる
