認証リクエストの識別
このアドオンには、認証リクエストの識別を試みるパッシブスキャンルールが含まれています。
このルールは、一般的に使用されるユーザー名とパスワードのフィールド名が存在することで、認証リクエストを識別します。
また、一般的に使用されるURLセグメントを使用して、認証リクエストである可能性が高いものを識別し、一般的に使用される登録用URLセグメントを使用して、登録リクエストを無視します。
このルールは非常に特殊な認証リクエストの識別を試みません。自動化を重視するため、偽陽性(認証リクエストではないものを誤って識別すること)よりも偽陰性(特殊な認証リクエストを見逃すこと)の方が許容されます。
このルールが、認証メソッドの自動検出を使用するように設定されたコンテキストの一部である認証リクエストを識別した場合、このルールは識別された認証メソッドを使用するようにコンテキストを更新します。
認証リクエストが識別されない場合は、そのリクエストがコンテキストに含まれるサイトに対して行われたものであることを確認してください。
含まれていない場合は、そのサイトをコンテキストに追加し、ブラウザ経由で再度認証を行ってください。
「その他の情報」フィールドは、簡単に解析できるキーと値のペアのセットを報告するために使用されます。 現在サポートされているキーは以下のとおりです:
- userParam
- userValue
- passwordParam
- csrfToken
複数の csrfToken が存在する可能性もあります。
現在、このルールが識別するのは以下のリクエストです:
- フォームベースの認証リクエスト
- JSONベースの認証リクエスト
このルールが上記の認証リクエストのいずれかを識別できない場合は、機密情報を伏せたうえでリクエストおよびレスポンスの詳細を添えて 問題 を報告してください。調査を行います。
最新のコード: AuthenticationDetectionScanRule.java