Hello there,
A2 ⇨ Broken Auth - Weak Passwordsを選択して。
『脆弱性診断ガイドライン』には、
ユーザ名と同じパスワードが登録・変更できないことを確認
とあるので、これに該当するのではと。
とりあえず、ログインIDのリストを作成しておいて。
まずは、適当にログインして。
エラーの文字列をを確認しておいて。
Invalid credentials!
Burp Suiteで『Intruder』を選択して。
今回は、『Cluster bomb』を選択して。
さらには、ログインとパスワードの2つのパラメータを選択して。
1つ目のパラメータに初めにつくったIDのリストを読み込んで。
2つ目のパラメータにも初めにつくったIDのリストを読み込んで。
最後にエラーと認識させる文字列を設定して。
攻撃を開始すると1つだけログインとパスワードが同じものが見つかった。
bWAPPへ戻って確認するとログインできた。
Best regards,