攻撃パラメータ

私たちが「攻撃者」 と呼ぶ悪意のあるアクターは、まず自らが攻撃しようとするプラットフォームについて理解しようとします。ここでは、前のモジュールでデプロイした Web アプリケーション (flask-app) に関するいくつかの事実を示します。

ウェブアプリの成功

  • Web アプリケーションは python で書かれています
  • flaskと呼ばれる人気のあるPython Webフレームワークを使用しています。
  • Jinja テンプレートエンジンを使用して HTML のサーバーサイドを生成しています。
  • 簡単化のために、SQLite をデータストアとして使用しています。
  • SQLAlChemy と呼ばれるオブジェクトリレーショナルマッパー (ORM) ツールキットを使用してデータベースとインタフェースしています。

これらのアプリケーションに関する情報に対して、攻撃者 がどのように情報収集できるかについても見ていきます。

攻撃者は、次の資格情報を使用して Web サイトに事前登録しているとします。

  • ユーザー名:badguy
  • パスワード:badguy

また john というユーザー名で事前登録されたユーザーもいるとします。

これらの設定をもとに次のセクションで説明する概念は、あらゆる種類の言語、プラットフォーム、フレームワークにも適用されます。