iモードブラウザ2.0のJavaScript

先日のソフトウェアアップデートで、iモードブラウザ2.0のJavaScriptが再び有効化されました。そして、mpw.jpでもiモードブラウザ2.0のJavaScriptに関して調査・検討を始めました。
まだその途上ではありますが、これまでに気づいたことを記述したいと思います。

XMLHttpRequestオブジェクトのsetRequestHeaderメソッドの無効化
X-DCMGUID、Host、User-Agent、Referrerなど、偽装されるとiモードのチープなセキュリティモデルを根幹から崩してしまうものだけを無効化するのではなく、setRequestHeaderメソッド自体が無効化され、JavaScriptからは全くヘッダを付加&変更することが出来ないように変更されているようです。

alertメソッドの無効化
alertメソッドが無効化されていました。
alertメソッドがXSS脆弱性有無のプローブとして真っ先に使用されているからだと推測しています。
(当方のサンプリング調査の結果では、携帯サイトの約1/4にXSS脆弱性があると推計されます。)

Leave a Reply