Authentication Tester

Authentication Tester パワー・ツールは、「ブルート・フォース」技法を使用して、Web アプリケーションへのアクセス権を取得するために使用される可能性のあるユーザー名とパスワードの脆弱な組み合わせを見つけるテスト・ユーティリティーです。(ブルート・フォース攻撃は、認証資格情報の推測に使用される自動化された試行錯誤プロセスで、不正ユーザーを正当なユーザーとしてサーバーに認識させる原因になります。)

悪質なユーザーはブルート・フォース技法を使用して、認証された領域へのアクセス権を可能にする資格情報を偶然見つけ出すまで、組み合わせを循環させます。悪質なユーザーはブルート・フォース用のアプリケーションを使用することで、辞書ファイルを使用したり、さらには受け入れ可能な文字セットのあらゆる組み合わせを単純に試行したりすることができます (組み合わせは、サイトで受け入れ可能なユーザー名およびパスワードのフォーマットに依存します)。このような攻撃では、アクセス権の取得に成功するまでに数千から数百万もの間違った組み合わせを生成することがあり、通常は数時間から数週間、またはそれ以上の期間を要します。

Web アプリケーションにおいて破られにくいパスワードを強制的に使用させることで、ブルート・フォース攻撃の実現可能性をかなり低くすることができます。

  • Authentication Tester は AppScan から実行できます。これを行うには、「ツール」 > 「パワー・ツール」 > 「Authentication Tester」をクリックします。
  • Authentication Tester は単独で実行できます。これを行うには Windows の「スタート」メニューで、「すべてのプログラム」 > [AppScan Standard がインストールされているフォルダー] > 「パワー・ツール」> 「Authentication Tester」をクリックします。