OAT-002 トークンクラッキング (Token Cracking)
トークンクラッキング (Token Cracking) は自動化された脅威です。 OWASP Automated Threat Handbook - Web Applications (pdf, 印刷物) は OWASP Automated Threats to Web Applications Project の成果物であり、それぞれの脅威、検出方法、対策についてより詳しいガイドを提供します。 脅威識別チャート は自動化された脅威を正しく識別するのに役立ちます。
定義
OWASP Automated Threat (OAT) ID 番号
OAT-002
脅威イベント名
トークンクラッキング (Token Cracking)
特徴・特性の概要
クーポン番号、バウチャーコード、割引トークンなどを大量列挙します。
イメージ図
解説
アプリケーション内でユーザーになんらかの形式の特典を提供する有効なトークンコードを識別します。特典には現金相当品、現金以外のクレジット、割引、限定オファーへのアクセスなどの機会、などがあります。
ユーザー名のクラッキングについては OAT-007 認証情報クラッキング (Credential Cracking) を参照してください。
他の名称や事例
クーポン推測 (Coupon guessing); バウチャー、ギフトカード、割引の列挙
関連項目
クロスリファレンス
CAPEC Category / Attack Pattern IDs
112 Brute Force
210 Abuse of Functionality
CWE Base / Class / Variant IDs
799 Improper Control of Interaction Frequency
837 Improper Enforcement of a Single, Unique Action
WASC Threat IDs
11 Brute Force
21 Insfficient Anti-Automation
42 Abuse of Functionality
OWASP Attack Category / Attack IDs
Abuse of Functionality
Brute Force Attack
Last updated