１．Broken Auth（脆弱な認証）とは

認証およびセッションの管理が間違って実行される場合、攻撃者は他のユーザーの身元を盗用したり、暗号鍵とパスワード自体を損傷することができます。

２．実際にやってみた

〇検証環境：bWAPP（VirtualBox上に環境構築）　
〇使用ブラウザ：Chrome

手順１．
「Broken Auth. - Insecure Login Forms」を選択します。

手順２．
ログインフォームに適当な文字列を入力してみます。

手順３．
ログインに失敗しました。

手順４．
デベロッパーツールの「要素」タブを開きます。
ヒントになりそうなコードを見つけました。

<label for="login">Login:</label>
<font color="white">tonystark</font>

<label for="password">Password:</label>
<font color="white">I am Iron Man</font>

手順５．
ログインフォームに以下を入力してみます。

Login:tonystark
Password:I am Iron Man

手順６．
ログインできました。

３．注意

この記事で紹介した内容は、独自に用意した検証用サイトに対して行いました。
企業・団体等のサイトに対し攻撃すると、違法行為として処罰される可能性があります。

４．その他

○参考
・Broken Authentication and session management(脆弱な認証とセッションの管理)