Yahoo!ケータイ「かんたんログイン」にDNSリバインディングによるなりすましの問題


HASHコンサルティングが、Yahoo!ケータイのJavaScript搭載機種でDNSリバインディングによる「かんたんログイン」のなりすましが可能であることを公表した。DNSリバインディングとは、DNSを利用した攻撃手法の一種で、DNSが返すIPアドレスを短時間の間に変更するというもの。

HASHコンサルティングでは、この攻撃手法による影響を受けサイトとして「端末固有ID(端末シリアル番号またはユーザID)によるかんたんログイン、あるいはセッション管理を行っているサイト」また、影響を受けるユーザーとして「JavaScript機能を搭載したYahoo!ケータイ端末のユーザー」を挙げている。

Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題
HASHコンサルティング株式会社の調査により、Yahoo!ケータイのJavaScript搭載機種でも、DNSリバインディングによるかんたんログインなりすましが可能であることがわかった。さらに、一部の機種では、setRequestHeaderメソッドによりHostフィールドを書き換え可能なものがあり、この場合は、従来推奨していた「Hostフィールドのチェック」によるアプリケーション側での対策がとれないことがわかった。

[1887] Posted by buzei at 2010/05/28 15:49:24
オープン | 0 point | Link (1) | Trackback (0) | Comment (0)

キーワード
Yahoo ケータイ かんたんログイン なりすまし セキュリティ

掲示板と検索のホームページ


Yahoo!ケータイ「かんたんログイン」にDNSリバインディングによるなりすましの問題 関連リンク

「Yahoo!モバゲーβ版」での個人情報ダダ漏れに切込隊長歓喜
Yahoo!モバゲーβ版」の障害で、2010年9月22日12時50分〜9月23日21時30分の期間に、モバイル版モバゲータウンの「お知らせ」を経由して「Yahoo!モバゲーβ版」への会員登録を行った、それ以前にモバイル版モバゲー...

Yahoo!ケータイ「かんたんログイン」にDNSリバインディングによるなりすましの問題 トラックバック

トラックバックURL :


Yahoo!ケータイ「かんたんログイン」にDNSリバインディングによるなりすましの問題へのコメント


詳細の入力フィールドを表示する

おすすめ  (チェックしてコメントすると最新情報に掲載)
コメント :

< 前のスレッド      次のスレッド >

アクセスランキング

今日のアクセスランキング(上位10件)

  1. 熱中症にはカルビーの「ポテトチップス」が効果的 (8 PV)
  2. [Twitter]ツイッター検索のまとめ (4 PV)
  3. 「真実を探すブログ」と「カレイドスコープ」が互いに誹謗・中傷と非難の応酬 (2 PV)
  4. 全米が大興奮、米人気女優ジェニファーローレンスさんやモデルのケイトアプトンさんヌード写真が流出 (1 PV)
  5. プリンセスガーデンホテル女性社長の「片岡都美」氏はフジモリ元大統領夫人 (1 PV)
  6. SQLプログラミング質問スレ (1 PV)
  7. 読売新聞「石井誠」記者変死事件 (1 PV)
  8. PHP、MySQLで動くオープンソース掲示板ソフト (1 PV)
  9. 59bbs 1.0 のインストールと初期設定 (1 PV)
  10. [B-CAS]平成の龍馬(多田光宏)逮捕 (1 PV)

今月のアクセスランキング(上位10件)

  1. 5ちゃんねる(5ch.net、旧2ちゃんねる)掲示板 (138 PV)
  2. SQLプログラミング質問スレ (114 PV)
  3. 「真実を探すブログ」と「カレイドスコープ」が互いに誹謗・中傷と非難の応酬 (108 PV)
  4. プリンセスガーデンホテル女性社長の「片岡都美」氏はフジモリ元大統領夫人 (92 PV)
  5. 掲示板やチャットなどのフリーPHPスクリプトの配布サイト (77 PV)
  6. PHP、MySQLで動くオープンソース掲示板ソフト (66 PV)
  7. 日清食品がラ王のCM撮影で槍ヶ岳山頂を勝手に封鎖、排除された登山者が激怒 (53 PV)
  8. 2ちゃんねる(2ch)検索 掲示板 - スレタイ、過去ログ、全文検索 (51 PV)
  9. [B-CAS]平成の龍馬(多田光宏)逮捕 (49 PV)
  10. [Twitter]ツイッター検索のまとめ (45 PV)

アクセス統計

ディレクトリ

関連サイト