OAT-010 カードクラッキング (Card Cracking)
カードクラッキング (Card Cracking) は自動化された脅威です。 OWASP Automated Threat Handbook - Web Applications (pdf, 印刷物) は OWASP Automated Threats to Web Applications Project の成果物であり、それぞれの脅威、検出方法、対策についてより詳しいガイドを提供します。 脅威識別チャート は自動化された脅威を正しく識別するのに役立ちます。
定義
OWASP Automated Threat (OAT) ID 番号
OAT-010
脅威イベント名
カードクラッキング (Card Cracking)
特徴・特性の概要
盗まれたペイメントカードのデータに欠落している開始日/有効期限やセキュリティコードをさまざまな値を試して特定します。
イメージ図
解説
アプリケーションペイメントカードプロセスに対してブルートフォース攻撃と行い、開始日、有効期限、カードセキュリティコード (Card Security Code) の欠落した値を特定します。カードセキュリティコード (Card Security Code) はカード確認番号2 (Card Validation Number 2, CVN2)、カード確認コード (Card Validation Code, CVC)、カード検証値 (Card Verification Value, CV2)、カード識別番号 (Card IDentification number, CID) など多くの方法で参照されます。
これらの値がプライマリアカウント番号 (Primary Account Number, PAN) と同様にわかっている場合、 OAT-001 カード試行 (Carding) を使用して詳細を確認し、 OAT-012 現金引き出し (Cashing Out) で商品や現金を手に入れます。
他の名称や事例
クレジットカード情報のブルートフォース (Brute forcing credit card information); カードブルートフォース (Card brute forcing); クレジットカードクラッキング (Credit card cracking); 分散推測攻撃 (Distributed guessing attack)
関連項目
クロスリファレンス
CAPEC Category / Attack Pattern IDs
112 Brute Force
210 Abuse of Functionality
CWE Base / Class / Variant IDs
799 Improper Control of Interaction Frequency
837 Improper Enforcement of a Single, Unique Action
WASC Threat IDs
11 Brute Force
21 Insufficient Anti-Automation
42 Abuse of Functionality
OWASP Attack Category / Attack IDs
Abuse of Functionality
Brute Force Attack
Last updated