mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-22 04:33:28 +00:00
Translated ['pentesting-web/uuid-insecurities.md'] to jp
This commit is contained in:
Translator
parent
540c6a6b17
commit
94d0767103
1 changed files with 10 additions and 10 deletions
|
|
@ -1,8 +1,8 @@
|
|||
# UUIDの脆弱性
|
||||
|
||||
{% hint style="success" %}
|
||||
AWSハッキングを学び、実践する:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
|
||||
GCPハッキングを学び、実践する:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
|
||||
AWSハッキングを学び、実践する:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
|
||||
GCPハッキングを学び、実践する: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
|
||||
|
||||
<details>
|
||||
|
||||
|
|
@ -17,14 +17,14 @@ GCPハッキングを学び、実践する:<img src="/.gitbook/assets/grte.png
|
|||
|
||||
## 基本情報
|
||||
|
||||
ユニバーサルユニーク識別子(UUID)は、**コンピュータシステム内の情報を一意に識別するために使用される128ビットの番号**です。UUIDは、中央の調整なしに一意の識別子が必要なアプリケーションで不可欠です。データベースキーとして一般的に使用され、文書やセッションなどのさまざまな要素を参照できます。
|
||||
ユニバーサルユニーク識別子(UUID)は、**コンピュータシステム内の情報を一意に識別するために使用される128ビットの番号**です。UUIDは、中央の調整なしに一意の識別子が必要なアプリケーションで不可欠です。データベースキーとして一般的に使用され、ドキュメントやセッションなどのさまざまな要素を参照できます。
|
||||
|
||||
UUIDは一意であり、**推測が難しい**ように設計されています。特定の形式で構造化されており、32の16進数の数字で表される5つのグループに分かれています。UUIDには異なるバージョンがあり、それぞれ異なる目的に使用されます:
|
||||
|
||||
* **UUID v1**は時間ベースで、タイムスタンプ、クロックシーケンス、ノードID(MACアドレス)を組み込んでいますが、システム情報を露出する可能性があります。
|
||||
* **UUID v2**はv1に似ていますが、ローカルドメイン用の修正が含まれています(あまり使用されていません)。
|
||||
* **UUID v2**はv1に似ていますが、ローカルドメイン用の修正が含まれています(あまり広く使用されていません)。
|
||||
* **UUID v3およびv5**は、名前空間と名前からハッシュ値を使用してUUIDを生成し、v3はMD5を使用し、v5はSHA-1を使用します。
|
||||
* **UUID v4**はほぼ完全にランダムに生成され、高い匿名性を提供しますが、重複のリスクがあります。
|
||||
* **UUID v4**はほぼ完全にランダムに生成され、高い匿名性を提供しますが、重複のリスクがわずかにあります。
|
||||
|
||||
{% hint style="success" %}
|
||||
UUIDのバージョンとサブバージョンは通常、UUID内の同じ位置に表示されます。例えば:\
|
||||
|
|
@ -56,7 +56,7 @@ UUID v1を使用してパスワードリセットリンクを生成するウェ
|
|||
|
||||
3. **分析**:
|
||||
|
||||
* 攻撃者は、時間的に近く生成された2つのUUID(\`99874128\`と\`998796b4\`)を持っています。時間ベースのUUIDの連続的な性質を考えると、被害者のアカウントのUUIDはこれら2つの値の間にある可能性が高いです。
|
||||
* 攻撃者は、時間的に近い2つのUUID(\`99874128\`と\`998796b4\`)を持っています。時間ベースのUUIDの連続的な性質を考えると、被害者のアカウントのUUIDはこれら2つの値の間にある可能性が高いです。
|
||||
|
||||
4. **ブルートフォース攻撃**:
|
||||
|
||||
|
|
@ -69,16 +69,16 @@ UUID v1を使用してパスワードリセットリンクを生成するウェ
|
|||
|
||||
### ツール
|
||||
|
||||
* サンドイッチ攻撃を自動的に実行できるツール: [**https://github.com/Lupin-Holmes/sandwich**](https://github.com/Lupin-Holmes/sandwich)
|
||||
* Burp SuiteでこれらのタイプのUUIDを検出するための拡張機能:[**UUID Detector**](https://portswigger.net/bappstore/65f32f209a72480ea5f1a0dac4f38248)。
|
||||
* サンドイッチ攻撃を自動的に実行するには、ツールを使用できます:[**https://github.com/Lupin-Holmes/sandwich**](https://github.com/Lupin-Holmes/sandwich)
|
||||
* Burp SuiteでこれらのタイプのUUIDを検出するには、拡張機能[**UUID Detector**](https://portswigger.net/bappstore/65f32f209a72480ea5f1a0dac4f38248)を使用できます。
|
||||
|
||||
## 参考文献
|
||||
|
||||
* [https://versprite.com/blog/universally-unique-identifiers/](https://versprite.com/blog/universally-unique-identifiers/)
|
||||
|
||||
{% hint style="success" %}
|
||||
AWSハッキングを学び、実践する:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
|
||||
GCPハッキングを学び、実践する:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
|
||||
AWSハッキングを学び、実践する:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
|
||||
GCPハッキングを学び、実践する: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
|
||||
|
||||
<details>
|
||||
|
||||
|
|
|
|||
Loading…
Reference in a new issue