LoginSignup

This article is a Private article. Only a writer and users who know the URL can access it.
Please change open range to public in publish setting if you want to share this article with other users.

More than 3 years have passed since last update.

@koujimatsuda11(松田 康司)

OWASP ZAP2.9.0で脆弱性診断をする - HTTP Sessions

Posted at

HTTP Sessions

HTTP Sessionsは、すべてのリクエストを特定のセッションに強制できるようにします。サイトのユーザーセッションを簡単に切り替えて、既存のセッションを「破壊」することなく新しいセッションを作成できます。
例えば、Aさん購入履歴は、Aさんしか見れないはずです。Bさんが見れてしまうと、認証の不備にあたります。AさんとBさんの2つのセッションを切り替えて、ページにアクセスすることで、この種の認証の不備を簡単にテストできます。

HTTP Sessionsは、Httpセッションタブで管理します。Httpセッションタブを有効にするとサイト単位で検知したセッションを表示します。

何もactiveにしていない場合、Manual Exploreで当該サイトにアクセスすると、新規セッションが作成されます。
スクリーンショット 2020-05-04 1.48.18.png
スクリーンショット 2020-05-04 1.47.52.png

右クリックし、ActiveにしてからManual Exploreで当該サイトにアクセスすると、そのユーザのセッションになります。
スクリーンショット 2020-05-04 1.51.55.png
スクリーンショット 2020-05-04 1.48.35.png

Httpセッションタブに自動でセッションが入るためには、オプションのHttpセッション画面でセッショントークン名を設定しておく必要があります。代表的なものは設定されてますが、サイト個別のトークン名は追加する必要があります。

スクリーンショット 2020-05-04 1.54.35.png

0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin