アプリケーションのログイン応答の記述

このタスクについて

「正常なログインの検出」ウィンドウでは、ログイン要求が成功か失敗かを Authentication Tester で認識できるようにします。この情報は、いつ Web アプリケーションが資格情報を有効なものとして受け入れたかを知るために必要です。

正常な応答の一部はデフォルトでリストに表示されますが、使用するアプリケーションに固有の応答をすべて含むにはリストを編集する必要があります。

手順

  1. 記述する応答のタイプを以下から選択します。
    • 正常な応答: 有効なログイン試行への応答です
    • エラー応答: 無効なログイン試行への応答です
  2. テキスト・ストリングを入力するか、応答ページの一部のコンテンツに一致する正規表現 (regexp) を入力します。(変数ではなく、静的コンテンツのみに一致させてください。)

    例えば、無効な資格情報によって「Username and password do not match」 という応答を受け取ることが多い場合、この応答を使用して、Authentication Tester にテスト結果を通知することができます。

    ストリングの代わりに正規表現を使用すると、Web アプリケーションの開発段階において、複数の実行に対して Authentication Tester の構成を 1 回で済ませることができます。

    例えば、ログイン成功ページのデザインを、ページ全体に大きく「Welcome!」と表記するか、またはホーム・ページの上部に小さい文字列で「welcome」と表記するかがまだ最終決定していない場合、「(?i)welcome」と入力して、検索語が大/小文字を区別しないように指示することができます。

    ヒント: 正規表現について、およびリテラル・ストリングより多くの意味を示すのに使用できるメタキャラクターについて詳しくは、メタキャラクターについてを参照してください。Authentication Tester で正規表現を使用する前にテストするには、Expression Test PowerTool を試行してください。
  3. 「追加」をクリックします。

    正規表現が応答リストに追加されます。

    正規表現はいくつでも追加できます。Authentication Tester ではこれらを OR 演算子と一緒に使用します。つまり、1 つ以上の正規表現がサイトのページのコンテンツに一致した場合、そのページは結果ページ (選択した応答タイプに応じて、ログイン成功ページまたはエラー・ページのいずれか) として認識されます。

  4. 不要な正規表現をリストから除去するには、正規表現を選択して「削除」をクリックします。
  5. 「OK」をクリックします。

    正常なログインの検出」ウィンドウが閉じて、メインウィンドウに戻ります。これで、現在の構成を使用してブルート・フォース・テストを実行できます (認証テストの実行を参照)。