アクティブスキャンルール - Alpha
以下のアルファステータスのアクティブスキャンルールがこのアドオンに含まれています:
LDAPインジェクション
LDAPインジェクションの可能性があります。 攻撃者が認証制御をバイパスし、LDAPディレクトリ内の任意のデータを閲覧および変更できる可能性があります。
クライアントまたはサーバーエラーのレスポンスステータスコードが元々返されたメッセージはスキップされます。
最新のコード: LdapInjectionScanRule.java
アラートID: 40015
NoSQLインジェクション - MongoDB
このルールはMongoDB特有のNoSQLインジェクション脆弱性の識別を試みます。 真偽値ベース、エラーベース、認証バイパスなど、さまざまなタイプの攻撃を試行します。
時間ベースの攻撃は含まれません。 また、スキャンがJSONパラメーターバリアントを含むように設定されている場合、JSONパラメーター固有のペイロードも試行します。
最新のコード: MongoDbInjectionScanRule.java
アラートID: 40033
NoSQLインジェクション - MongoDB (時間ベース)
このルールは時間ベースの攻撃のみを使用してMongoDB特有のNoSQLインジェクション脆弱性の識別を試みます。
最新のコード: MongoDbInjectionTimingScanRule.java
アラートID: 90039.
Webキャッシュ欺瞞
このルールはWebキャッシュデセプション脆弱性の識別を試みます。元のURIに静的パスを追加することで機密性の高いユーザー情報が漏洩する可能性があるかどうかをチェックします。
- このルールを使用する前にユーザーは認証されている必要があります
最新のコード: WebCacheDeceptionScanRule.java
アラートID: 40039.
疑わしい入力変換
これはアクティブスキャンルール (スクリプト) です。 テンプレートインジェクション、式評価、引用符の消費、Unicode正規化に関連する問題など、潜在的なセキュリティ脆弱性を示す可能性のある様々な種類の疑わしい入力変換を検出します。
このルールは、Albinowax氏によるBurp Suite用ActiveScan++拡張機能に含まれる「Suspect Transform」チェック (SuspectTransform.java) を基に作成されています。.
最新のコード: SuspiciousInputTransformation.js
アラートID: 100044.