徳丸本VMに1行追加するだけでメールアドレス改ざんの実習環境を作ろう

お名前.com Naviの「通信を改ざんできる不具合を利用してメールアドレスを書き換えた」事件に着想を得て、「メールアドレス改竄脆弱性を手元で安全に試せる」実習環境を準備しました。想定する脆弱性として認可制御不備になります。「そんな単純なことで」と思う方も多いと思いますが、実は割合よく見かける脆弱性です。 メールアドレスを改竄して、パスワードリセットから、管理者アカウントでのログインまで試すことができます。 ※ お名前.com Naviの事件内容の推測ではなく、この事件に着想を得た脆弱性実習です 参考: お名前.com Naviで発生した事象につきまして https://www.onamae.com/news/domain/20200603_1/ 実習シナリオ、スクリプト等はこちら https://github.com/ockeghem/web-sec-study/tree/mast

[takc923]

徳丸さんはお名前.com Naviの事件の真相は分からないと言ってるだけで、この脆弱性ではないと断定はしてないんじゃないかな https://twitter.com/ockeghem/status/1268772451317460994?s=21

[tenkoma]

セキュリティ系ユーチューバーだ

[pathtraversal]

徳丸さんは否定しているけど、お名前.com事件の手口はこれじゃないの?

[ockeghem]

YouTube動画を投稿しました。お名前.com Naviのメールアドレス改竄事件に着想を得て、メールアドレス改竄からパスワードリセットまでを手軽に実習できる方法を説明します