Hello there, ('ω')ノ

 

まずは、OWASP BWAを新規にインストールしてから起動して。

 

 

コンソールでログインしないまま、OWASP WebGoatをクリックしてログインすると。

 

 

表示されるといった流れでして。

 

 

Basic認証のリクエストとヘッダは下記のとおりで。

 

 

Authorizationヘッダをデコードすると下記のようなフォーマットで。

　root:owaspbwa

 

 

再度、新規にOWASP BWAをインポートして適当な値を入力して。

 

 

デコードすると。

 

 

下記のような値を入力したことが確認できたので。

 

 

リクエストをイントルーダへ。

 

 

Authorizationヘッダのフォーマット形式でアタックする必要があるので。

Custom iteratorを選択して。

 

 

ユーザ名と区切り文字を入力して。

 

 

二つ目のパスワードの値の入力を。

 

 

最後にエンコードタイプを。

 

 

 

ここで注意が必要なのが、Payload Encodingのチェックを外すことで。

 

 

アタック後の結果で、ステータス200のリクエストを確認して。

 

 

念のため、デコードして中身の確認を。

 

 

Best regards, (^^ゞ