前者はサイトにログインするユーザーが、アカウントを作成した本人かをチェックする手続きを指す。 後者は上記に加えて、そのユーザーが特定操作を行うことを許可されているかを確認することも含む。

• BruteForceの対策が甘いパターン
• 認証ロジックが甘いパターン

https://portswigger.net/web-security/authentication/password-based/lab-username-enumeration-via-different-responses

提供されたUsername ListとPassword Listを使ってBrute Forceでログインを試みる問題。 BurpSuiteのIntruderの使い方が練習できる。

#Intruder を使ってBrute-forceでID/PWを割り出す。

1. ユーザーネームのvalueを$で囲う

!Pasted image 20220502095044.png

2. Payloadsでユーザーネームの一覧を登録

Palyload Optionsで提供されたユーザーネームリストをコピペする。

!Pasted image 20220502095151.png

3. start attackで開始する

Community Editionなので、結構時間がかかるが、 ResponseのデータLengthを見て、 登録済みのIDが判明する。

あとは、手順１でパスワード側を$で囲って、次はパスワードを解析する。