ドコモはiモードIDの生成方法を見直すべきだ « mpw.jp管理人のBlog

昨年、「iモードID」の送出が開始されたことにより、「iモードID」のみでユーザ認証を行う携帯サイトが増えてきました。 そして、それら携帯サイトの中に、iモードIDハイジャック（悪意もった第三者による乗っ取り操作）の被害を受けると思われるサイトが、多数散見されます。 被害を受けるサイトの条件 ユーザ認証を「iモードID」のみで行っている。 FORMの入力内容をPOSTメソッドで送信しているものの、受け取り側でリクエストメソッドのチェックを行っていない。もしくは、GETメソッドで送信している。 iモードIDハイジャックの方法 以下のような形で登録処理を行っている攻撃対象サイト(targetdomain.com)を探す。 [http://targetdomain.com/form.php] <html> 会員登録開始<br> IDとパスワードとメアドを入力してください<br> <form me

[rryu]

ユーザー登録と同時に自動ログイン設定をする仕組みだと、CSRFがもれなくセッション固定攻撃のコンボになるのでより危険。iモードIDによるログイン認証は有効期限無限のセッションになり得るので用法には注意と。

[no_ri]

メソッドの違いは本質的な問題じゃないような気もするけどなあ。

[itochan]

ワンクリックサイト問題

[rna]

なるほど。。。

[ockeghem]

端末認証後の会員登録がユーザの意図しないところで行われるので、これはアプリケーションのCSRF脆弱性。JavaScriptを使えばPOSTでも可能。キャリアではなくアプリケーション側の脆弱性であり、通常のCSRF対策が必要。

[mpw_jp]

エントリーを更新しました。