パスワード総当たり攻撃とは、パスワード解析によってシステムやネットワークへの権限のないアクセスを行おうとする試みです。Web アプリケーションに総当たり攻撃に対する脆弱性があるかどうかは、スキャン実行時にパスワード総当たり攻撃を行うことで確認できます。スキャン時にパスワードをテストするようにパスワード総当たり攻撃リストを設定できます。
* Express Lite ユーザの場合、「総当たり攻撃リスト」は使用できません。
1)「設定」->「総当たり攻撃リスト」->「新規リスト」を選択します。
2)総当たり攻撃リストの設定を入力します(ウィザードのタイトルバーのヒント表示をオンにすると、設定にマウスポインタを合わせたときにオンラインヘルプが表示されるようになります)。
- ユーザ名とパスワードのリストを設定します。
- リストにタグを適用します(オプション)。
3)スキャンに適用するオプションプロファイルに総当たり攻撃リストを追加します。(オプションプロファイルの管理方法)。
4)スキャンを開始し、総当たり攻撃リストを追加したオプションプロファイルを選択します。
WAS 設定パーミッションをユーザが持っているかどうかは、ユーザロールおよびパーミッションによって決まります。総当たり攻撃リストおよびその他の WAS 設定を作成、編集、削除するための個別のパーミッションがあります。詳細
総当たり攻撃のテストでは、スキャン時にユーザ名とパスワードを使用します。ユーザ名とパスワードのペアを CSV ファイルでインポートすることも、手動でリストに追加することもできます。すべてのエントリを削除するには、「すべてクリア」をクリックします。
重要: パスワード総当たり攻撃は、QID 150049 が検出範囲に含まれている場合、およびオプションプロファイルのスキャンパラメータの下で総当たり攻撃が有効になっている場合に、フォーム認証とサーバベース認証の両方のスキャン中に実行されます。
総当たり攻撃リストにタグを適用すると、他のユーザでも使用できるようになります。総当たり攻撃リストに適用されるタグと一致するタグがスコープに設定されているユーザは、その総当たり攻撃リストにアクセスできるようになります。
タグを定義するには、Asset Management(CyberSecurity Asset Management(CSAM))アプリケーションに移動します。
「設定」->「総当たり攻撃リスト」を選択します。総当たり攻撃リストにマウスポインタを合わせて、「クイックアクション」メニューで「編集」を選択し、ウィザードを使用して総当たり攻撃リストを編集します(ウィザードタイトルバーのヒント表示をオンにすると、設定ごとのオンラインヘルプが表示されるようになります)。
総当たり攻撃リストの行をクリックすると、リストの下にプレビューパネルが表示されます。プレビューには、総当たり攻撃リストに含まれている資格情報エントリの数、リストを使用しているオプションプロファイルの数、リストに追加された最新コメントが表示されます。