Hello there,

 

A2 ⇨ Broken Auth - Weak Passwordsを選択して。

 

 

『脆弱性診断ガイドライン』には、

　ユーザ名と同じパスワードが登録・変更できないことを確認

とあるので、これに該当するのではと。

とりあえず、ログインIDのリストを作成しておいて。

 

 

まずは、適当にログインして。

エラーの文字列をを確認しておいて。

　Invalid credentials!

 

 

Burp Suiteで『Intruder』を選択して。

 

 

今回は、『Cluster bomb』を選択して。

さらには、ログインとパスワードの２つのパラメータを選択して。

 

 

１つ目のパラメータに初めにつくったIDのリストを読み込んで。

 

 

２つ目のパラメータにも初めにつくったIDのリストを読み込んで。

 

 

最後にエラーと認識させる文字列を設定して。

 

 

攻撃を開始すると１つだけログインとパスワードが同じものが見つかった。

 

 

bWAPPへ戻って確認するとログインできた。

 

 

Best regards,