ここで、サーバーが「ユーザー名またはパスワードが正しくありません」というレスポンスを返すまでに、わずかに長い時間がかかったことに気づけば、攻撃者は何かしら正解に近づいた、すなわち先頭のいくつかの文字が正しかったことを知ることができます。

すると、`johndoe` よりも `stanleyjobsox` に近いものを狙って再試行できます。

#### 「プロ」レベルの攻撃 { #a-professional-attack }

もちろん、攻撃者はこれらを手作業では行わず、プログラムを書いて、1 秒間に数千〜数百万回のテストを行うでしょう。そして 1 回に 1 文字ずつ正しい文字を見つけていきます。

そうすることで、数分から数時間のうちに、攻撃者は私たちのアプリケーションの「助け」（応答にかかった時間）だけを利用して、正しいユーザー名とパスワードを推測できてしまいます。

// JSON values
type Decoder struct {
	*scanner
	emitDepth     int
	maxDepth      int
	emitKV        bool
	emitRecursive bool
	objectAsKVS   bool

	depth   int
	scratch *scratch
	metaCh  chan *MetaValue
	err     error

	// follow line position to add context to errors
	lineNo    int
	lineStart int64
}

// NewDecoder creates new Decoder to read JSON values at the provided

- uygulama yerelde (örn. localhost’ta) veya dahili bir ağda çalışıyorsa
- ve uygulamada hiç kimlik doğrulama yoksa, aynı ağdan gelen her request’in güvenilir olduğu varsayılıyorsa.

## Örnek Saldırı { #example-attack }

Yerelde çalışan bir AI agent’ı (yapay zeka ajanı) çalıştırmanın bir yolunu geliştirdiğinizi düşünün.

Bir API sunuyor:

```
http://localhost:8000/v1/agents/multivac
```

Ayrıca bir frontend var:

 *     <li>{@linkplain Project#getMainArtifact() the main artifact}</li>
 *     <li>{@linkplain org.apache.maven.api.services.ProjectManager#attachArtifact(Session, Project, Path) artifacts to be attached to a project}</li>
 * </ul>
 *
 * <p>For the main artifact and attached artifacts, the
 * {@link org.apache.maven.api.services.ArtifactManager ArtifactManager} service must be used
 * to point the artifact to a {@link Path} during the packaging phase.</p>
 *

        br.addElement("Against for CVE-2014-0050 (JVN14876762).");
        br.addElement("Boundary size is limited by Framework.");
        br.addElement("Too long boundary is treated as 404 because it's thought of as attack.");
        br.addElement("");
        br.addElement("While, you can override the boundary limit size");
        br.addElement(" in " + getClass().getSimpleName() + ".");
        br.addItem("Content Type");

* застосунок працює локально (наприклад, на `localhost`) або у внутрішній мережі
* і в застосунку немає жодної автентифікації, очікується, що будь-який запит з тієї ж мережі є надійним.

## Приклад атаки { #example-attack }

Уявіть, що ви створюєте спосіб запускати локального AI-агента.

Він надає API за адресою

```
http://localhost:8000/v1/agents/multivac
```

Є також фронтенд за адресою

```

* und die Anwendung keine Authentifizierung hat, sondern erwartet, dass jeder Request aus demselben Netzwerk vertrauenswürdig ist.

## Beispielangriff { #example-attack }

Stellen Sie sich vor, Sie bauen eine Möglichkeit, lokal einen KI-Agenten auszuführen.

Er stellt eine API bereit unter

```
http://localhost:8000/v1/agents/multivac
```

Es gibt auch ein Frontend unter

/// tip | İpucu

     * @return session instance with the given type
     */
    <T extends SmbSession> T unwrap(Class<T> type);

    /**
     * Returns the CIFS context that this session is attached to.
     *
     * @return the context this session is attached to
     */
    CIFSContext getContext();

- a aplicação está em execução localmente (por exemplo, em `localhost`) ou em uma rede interna
- e a aplicação não tem autenticação, pressupondo que qualquer requisição da mesma rede é confiável.

## Exemplo de Ataque { #example-attack }

Imagine que você desenvolve uma forma de executar um agente de IA local.

Ele fornece uma API em

```
http://localhost:8000/v1/agents/multivac
```

Há também um frontend em

```