OAT-007 認証情報クラッキング (Credential Cracking)
Last updated
Last updated
認証情報クラッキング (Credential Cracking) は自動化された脅威です。 OWASP Automated Threat Handbook - Web Applications (pdf, 印刷物) は OWASP Automated Threats to Web Applications Project の成果物であり、それぞれの脅威、検出方法、対策についてより詳しいガイドを提供します。 脅威識別チャート は自動化された脅威を正しく識別するのに役立ちます。
OAT-007
認証情報クラッキング (Credential Cracking)
ユーザー名やパスワードにさまざまな値を試すことで、有効なログイン認証情報を特定します。
ブルートフォース攻撃、辞書 (単語リスト) 攻撃、推測攻撃をアプリケーションの認証プロセスに使用して、有効なアカウント認証情報を特定します。これには一般的なユーザー名やパスワードを利用したり、初期ユーザー名の評価に関連することがあります。
盗まれた認証情報セット (ユーザー名とパスワードのペア) を使用して、一つ以上のサービスで認証を行うことは OAT-008 認証情報スタッフィング (Credential Stuffing) になります。
サインインに対するブルートフォース攻撃 (Brute-force attacks against sign-in); ログイン認証情報のブルートフォース (Brute forcing log-in credentials); ブルートフォースパスワードクラッキング (Brute-force password cracking); ログイン認証情報のクラッキング (Cracking login credentials); パスワードブルートフォース (Password brute-forcing); パスワードクラッキング (Password cracking); リバースブルートフォース攻撃 (Reverse brute force attack); ユーザー名クラッキング (Username cracking); ユーザー名列挙 (Username enumeration)
16 Dictionary-based Password Attack
49 Password Brute Forcing
70 Try Common(default) Usernames and Passwords
112 Brute Force
307 Improper Restriction of Excessive Authentication Attempts
799 Improper Control of Interaction Frequency
837 Improper Enforcement of a Single, Unique Action
11 Brute Force
21 Insufficient Anti-Automation
42 Abuse of Functionality
Abuse of Functionality
Brute Force Attack