Hello there, ('ω')ノ
🔹 ① Sniper attack(スナイパー攻撃)
Inserts each payload into each position one at a time, using a single payload set.
✅ 特徴:
- 単一のペイロードセットを すべてのポジションに1つずつ適用
- 各ポジションを個別にテスト
- 初心者にも扱いやすい
📌 使用例:
- XSS、SQLインジェクション、OSコマンドインジェクションなど
- 各入力値が単独でどう反応するかを見る用途に最適
🔹 ② Battering ram attack(バッタリングラム攻撃)
Simultaneously places the same payload into all positions, using a single payload set.
✅ 特徴:
- 同じペイロードをすべてのポジションに一括適用
- ペイロードは1セットだけ使用
- 各試行で「全ポジション同じ値」で送信
📌 使用例:
- **認証情報の同時送信(例:ユーザID+パスワード)**を単一の入力値で試す場合
- 同一の文字列が複数のパラメータに影響するか確認したいとき
🔹 ③ Pitchfork attack(ピッチフォーク攻撃)
Allocate a payload set to each position. Intruder iterates through each set in parallel.
✅ 特徴:
- 各ポジションに対して 個別のペイロードセットを割り当て
- 同じインデックス番号のペイロードを並行的に適用
- 回数 = 最長のペイロードセットの長さ
📌 使用例:
複数の異なる入力が同時に1対1の組で送信される必要がある認証など
- 例:ユーザ名 + パスワードのセット →
user1/pass1,user2/pass2...
- 例:ユーザ名 + パスワードのセット →
🔹 ④ Cluster bomb attack(クラスター爆撃攻撃)
Allocate a payload set to each position. Intruder iterates through all possible combinations of each set.
✅ 特徴:
- 各ポジションに 個別のペイロードセットを割り当て
- すべての組み合わせを総当たりで試行
- 試行回数 = セット1の数 × セット2の数 × ...
📌 使用例:
- パラメータの組み合わせが原因で脆弱性が発生するようなケース
- 総当たりで複雑な条件のインジェクションやバグを検出
🔽 攻撃タイプまとめ(比較表)
| 種類 | ペイロードセット数 | 動作 | 使用例 |
|---|---|---|---|
| Sniper | 1セット | 1つずつ順番に差し替え | 単一パラメータのXSS等 |
| Battering ram | 1セット | 全ポジションに同じ値 | 同一値での認証突破テスト |
| Pitchfork | 複数セット | 同じ順番で並行適用 | ユーザ名/パスワードの組 |
| Cluster bomb | 複数セット | 全組み合わせを試行 | 条件付きバグ、複合インジェクション |
各攻撃タイプは目的によって使い分けます。 初学者はまず「Sniper → Pitchfork → Cluster bomb」の順で試していくと理解が深まりやすいです。
Best regards, (^^ゞ
