トップ > ツール: Auth Analyzer > 「Auth Analyzer」を使ってみた

「Auth Analyzer」を使ってみた

ツール: Auth Analyzer ツール: Burp Suite (Proxy) *Web脆弱性診断ツール ブログ: NECセキュリティブログ セキュリティ企業: NEC

【要点】

◎Burp Suite拡張「Auth Analyzer」は権限差によるアクセス制御不備を自動検出。OWASP Juice Shop検証で有効性を確認し、直感的操作と高い可視性が評価された。


【図表】


Auth Analyzerの画面

Auth Analyzerの出力結果
出典: https://jpn.nec.com/cybersecurity/blog/251010/index.html


【要約】

NECセキュリティブログは、Webアプリ診断ツール「Burp Suite」の拡張機能「Auth Analyzer」を紹介した。Auth Analyzerは権限の異なるユーザのレスポンスを自動比較し、アクセス制御不備を効率的に検出できるツールである。リクエストの自動送信、トークン抽出、ヘッダー置換、結果の可視化などをサポートし、複雑な検証を簡素化する。OWASP Juice Shopでの検証では、一般ユーザが管理者情報にアクセス可能なケースを検出できた。操作性や出力の分かりやすさも高評価だった。


【ブログ】

◆「Auth Analyzer」を使ってみた (S澤(えすざわ)(NECセキュリティブログ), 2025/10/10)
https://jpn.nec.com/cybersecurity/blog/251010/index.html


【関連まとめ記事】

全体まとめ

◆NECセキュリティブログ (まとめ)
https://security-tools.hatenablog.com/entry/NEC_Security_Blog

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2022