UUID/GUIDバージョン1が検出されました

info Web App Scanning プラグイン ID 114948

Language:

概要

説明

これは、スキャナーがUUID/GUIDバージョン1を検出したことをユーザーに知らせる情報プラグインです。

UUID/GUIDバージョン1には、それを生成したコンピュータのMACアドレスとタイムスタンプが含まれています。つまり、攻撃者がUUID/GUIDバージョン1を入手できれば、ホストの識別子や生成時間を推定でき、v1は主に決定論的なフィールドを埋め込むため、同時期に生成された他の識別子も予測できます(例:タイムスタンプやクロックシーケンスの列挙)。これにより、v1がセキュリティに敏感な値として使われた場合、相関攻撃、列挙攻撃、トークン推測攻撃が可能になります。

ソリューション

アクセスをゲートする秘密や識別子にはUUID/GUIDバージョン1を使わないでください。UUID/GUIDバージョン4(またはCSPRNGによるバージョン7)のような暗号的にランダムな識別子を好みます。

参考資料

https://cheatsheetseries.owasp.org/cheatsheets/Cryptographic_Storage_Cheat_Sheet.html#uuids-and-guids

プラグインの詳細

深刻度: Info

ID: 114948

タイプ: Check Based

ファミリー: Data Exposure

公開日: 2025/9/3

更新日: 2025/9/3

スキャンテンプレート: api, basic, full, overview, pci, scan