au/KDDIの2011年秋冬モデル(現時点ではF001のみ)にてEZwebとPCサイトビューア(以下PCSV)のゲートウェイが統合されたことに伴い、かんたんログインを実装しているサイトに対して、F001のPCSVからJavaScriptを用いた「なりすまし」攻撃ができる状態でした。この問題をKDDIに通報したところ、直ちに対策が取られ、現在は安全な状態です。以下、詳しく報告します。 目次概要 経緯 何が問題か 経緯説明(1)基本的なチェックは対処済みだった 経緯説明(2)ハイフンをアンダースコアに変えるトリックは対策済み 経緯説明(3)海老原氏が発見したトリックとは 経緯説明(4)KDDIに連絡→翌日に対処 実証例 外部からJavaScriptを実行できる条件 影響を受けるサイトの条件 影響 対策 今回の問題は、端末あるいはau設備の脆弱性なのか まとめ 概要以前、「EZwebの2011
![KDDIの新GWで「かんたんログイン」なりすましの危険性あり直ちに対策された](https://cdn-ak-scissors.b.st-hatena.com/image/square/b94c5f37fa6fbc69d74879d2fb186202d19049b9/height=288;version=1;width=512/https%3A%2F%2F2.bp.blogspot.com%2F-EQxYR5TjNxU%2FTtLI04QZuJI%2FAAAAAAAAA2o%2Fd6ywB-n2UIo%2Fw1200-h630-p-k-no-nu%2Fez-narisumashi.png)