OWASP自動脅威ハンドブックは、自動化された脅威からWebアプリケーションを保護するための情報を提供します。 これらの脅威は、自動ツールの使用、サービス拒否、アプリケーションロジックの違反、放棄されたバスケット、不完全なトランザクションなどに関連しています。
OWASP TOP 10で導入されたWeb脆弱性の典型的なリスクに加えて、攻撃者がWebアプリケーションを不安定にしたり、アプリケーションの機能を操作してその動作を中断したりする多くの機会があります。 このような操作の例として、複数の「未完了」注文の作成があります。これにより、オンラインストアで予約された商品のポジションが使い果たされ、正当なユーザーに注文を行うことができなくなります。
また、これらの脅威には、いわゆる ボットまたは自動化された攻撃:
- ユーザー識別。
- 集約;
- クリック詐欺;
- スパムコメント
- コンテンツの解析。
機能の過剰使用はサービス拒否アプリケーション(DoS)として解釈できますが、実際にはDoSは副作用です。
自動化された脅威
脅威はいくつかのタイプで配布され、アルファベット順に使用されます。 理解するために、ネイティブのOAT名と脅威の適応された説明を使用します。
| オート麦 | 説明 |
|---|---|
| OAT-020アカウントの集約 | 複数のアカウントを使用し、それらに代わって中間アプリケーションで対話します。 |
| OAT-019アカウント作成 | 将来の使用のためにマルチアカウントを作成します。 |
| OAT-003広告詐欺 | 広告詐欺。 不正な広告インプレッションを作成し、クリックの集計を行います。 |
| OAT-009 CAPTCHA敗北 | キャプチャテストをバイパスします。 |
| OAT-001カーディング | ショッピングによる盗まれたペイメントカードデータの検証。 |
| OAT-010カードの割れ | 盗難された支払いカードの有効性と、徹底的な検索によるCVVコードの有効性の確認。 |
| OAT-012キャッシュアウト | 盗まれた支払いカードの確認済みデータを使用した商品の購入またはキャッシュアウト。 |
| OAT-007クレデンシャルクラッキング | ログイン/パスワードを選択するためのツールを使用したシステムの有効なユーザーアカウントの識別。 |
| OAT-008クレデンシャルスタッフィング | ユーザー名とパスワードの形式で盗まれたペアの信頼性を検証するために使用される大量ログイン試行。 |
| OAT-021在庫の拒否 | 複数の「放棄」または偽造注文による在庫の枯渇。 |
| OAT-015サービス拒否 | サーバー/ DBMSリソースの枯渇-たとえば、DBMSへの大量のレポートまたは「重い」クエリを生成する場合。 |
| OAT-006迅速化 | 通常、遅く、退屈な、または時間のかかるアクティビティを高速化します。 |
| OAT-004指紋認証 | Webサーバーコンポーネントに関する情報を特定します。 |
| OAT-018フットプリント | Webアプリケーションコンポーネントに関する情報を識別します。 |
| OAT-005スキャルピング | Webアプリケーションのロジックを操作して、限られた商品/サービスにアクセスする。 |
| OAT-011スクレイピング | サードパーティアプリケーションで使用するためのWebアプリケーション解析/データ収集。 |
| OAT-016スキューイング | 繰り返されるフォームのリクエスト、クリックなど。 インジケータを変更します。 |
| OAT-013狙撃 | アプリケーションロジックを操作して、「最後の勝ちの賭け」を作成します。 |
| OAT-017スパミング | オープンまたはクローズ(DBMS)アクセスでの悪意のあるまたはスパム情報、メッセージ。 |
| OAT-002トークンクラッキング | トークン、クーポン、割引コードの予測値の徹底的な検索による識別。 |
| OAT-014脆弱性スキャン | 潜在的な脆弱性を識別するためのWebアプリケーションの自動スキャンとファジング。 |
このタイプの脅威は、 WASC脅威分類マトリックスとマイターCAPECに重ねられます。
このリストに含まれる脅威イベントに焦点を当てる領域には、個々のイベントと、Webアプリケーションとのマルチステージおよび反復的な相互作用の両方を含める必要があります。
これらの脅威のほとんどは正当なユーザーのアクションに似ており、特定のアクションの繰り返し時間とイベントの規模の両方に依存するこれらまたはその他の悪用や操作の特定に役立つのは、包括的な詳細な分析のみです。 自動脅威に関連するイベントは、Webアプリケーションに影響するだけでなく、サードパーティのサービスに関連する可能性もあります。
これらの脅威の一部は、異常の分析、機械学習、人工知能、正当なユーザーの行動パターンの作成などのツールを使用して特定および排除できます。
プロジェクトページ: OWASP自動脅威