DNSリバインディングを悪用した不正の防止には、 (続きを読む…)
‘セキュリティ’ カテゴリーのアーカイブ
携帯電話のDNSリバインディング対策案
2010年6月2日 水曜日docomo IDのOpenID対応の危険性
2010年3月10日 水曜日docomo IDをOpenID対応にすることによって、PC向けサイトでiモードIDの取得が可能になり、PC向けサイトとiモード向けサイトの連動が非常に容易になりました。
しかし、OpenIDでの認証シーケンスのサイト遷移が一般ユーザに周知徹底されていない現状と、他人のdocomo IDの利用(悪用)価値の高さを考えると、 (続きを読む…)
ドコモはiモードIDの生成方法を見直すべきだ
2009年11月27日 金曜日昨年、「iモードID」の送出が開始されたことにより、「iモードID」のみでユーザ認証を行う携帯サイトが増えてきました。
そして、それら携帯サイトの中に、iモードIDハイジャック(悪意もった第三者による乗っ取り操作)の被害を受けると思われるサイトが、多数散見されます。
(続きを読む…)
iモード専用サイトのhtmlソースの閲覧方法
2009年11月22日 日曜日iモードブラウザ2.0のJavaScriptを調査・研究する過程で、iモード専用サイトのhtmlソースを閲覧する方法を発見しました。
今回発見した方法を用いれば、「ドコモ・ゲートウェイ以外からのアクセスを禁止している」、「サーチエンジンのクロールを禁止している」、「XSS脆弱性が存在しない」の三つの条件を満たしているiモード専用サイトでも、htmlソースを閲覧することができます。
(続きを読む…)
PCのブラウザからのYahoo!ケータイへのアクセス
2009年11月22日 日曜日ソフトバンクのスマートフォンを使用することによって、以下の方法で、パソコンのブラウザからYahoo!ケータイにアクセスすることができます。
(続きを読む…)
