こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 最近 WebAuthn *1 を触る機会がありました。 WebAuthnを使うと、Webアプリのログインで指紋認証や顔認証など多要素認証を組み込むことが可能となります。 一方で脆弱性診断の観点から見ると、burpやzapなどのスキャンツールで WebAuthnを使ったログイン処理をどうやって再現するかが悩ましく感じました。 もちろん、2022年2月時点でほとんどの(筆者の知る限りではすべての)Webサイトで WebAuthn を始めとする多要素認証はオプション扱いです。 多要素認証のフローそのものの診断を要望されない限りは、従来のID/パスワード認証によるログイン処理でスキャンや手動診断が可能です。 とはいえ転ばぬ先の杖と言いますし、診断ツールを開発している筆者として
![WebAuthnをエミュレートするWebアプリの開発 - セキュアスカイプラス](https://cdn-ak-scissors.b.st-hatena.com/image/square/dfd90b9749a14b6ad7f80b8ef914dc4d33eca3c9/height=288;version=1;width=512/https%3A%2F%2Fsecuresky-plus.com%2Fwp-content%2Fuploads%2F2024%2F03%2F20220212004402-300x152.png)