sWebMachineGun.exe実践編
ログイン画面では、パスワードを間違えすぎるとロックアウトしてしまう可能性を考慮しなければならない
ポイントは、sWebMachineGun.exeでは、「何もしない」という置換方法があるので、それを使って一旦正しく認証してもらってロックアウト回避を狙う。
診断対象
こんな感じ
| ログイン画面 | 認証(不)成功画面 |
|---|---|
 |
 |
| POST /sanaki/yourdata/testLogin.asp HTTP/1.0 Content-Type: application/x-www-form-urlencoded Content-Length: 0 user=sasaki&password=password |
|
ユーザ名とパスワードをポストするという画面が対象。
ただし、パスワードを間違えすぎるとロックアウトしてしまう可能性がある。
sWebMachineGun.exeの設定
メインの設定は、HTTPリクエストの設定と、置換方法の設定
sWebMachineGun.exeの設定1
「Request」タブに、一つのHTTPリクエストを設定する
場合によっては、二つ目としてログアウトのリクエストを投入してもよいだろう
この画面は、「一つのHTTPリクエスト(一番シンプル)」とかと同じなので、特に説明は不要だろう
sWebMachineGun.exeの設定2
「Setting」タブの置換方法は、少し多めに入れてみた
- ポイントは、「何もしない」という置換方法を大体3回ごとに挟み込んでいること
- これによって、リクエストテンプレートに書かれた正しいユーザ名とパスワードで、一旦正しく認証されることを狙う
- つまり大体3回ごとに正しく認証されるためロックアウト数が3回程度でリセットされるだろう
- 「何もしない」の置換文字列を「=【変数名】」にすることで、その変数名の置換の時だけ有効にすることもできる
- 画面上では、変数「user」では「何もしない」置換は発動しないようにしてみた(ユーザ名を間違えた場合はロックアウトしない場合が多いので[→どのユーザをロックアウトさせるのか確定できないからね])
sWebMachineGun.exeの実行
「Execute」ボタンで、実行できるのですが、結果はこんな感じで、変数「password」の時だけ3回に1回程度「何もしない」リクエストが送られて、ロックアウトを回避できていることが分かると思う。
