セキュリティ情報 - iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性
iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性 HASHコンサルティング株式会社 公開日:2009年11月24日 概要 iモードブラウザ2.0のJavaScriptとDNS Rebinding問題の組み合わせにより、iモードIDを利用した認証機能(以下かんたんログイン)に対する不正アクセスが可能となる場合があることを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者には至急の対策を推奨する。 背景携帯電話のかんたんログインとは、ケータイブラウザ(たとえばiモードブラウザ)に用意された契約者固有IDを利用した簡易的な認証であり、ユーザがIDやパスワードを入力しなくても認証が可能となる。iモードIDは、NTTドコモの提供する契約者固有IDの一種で、URLにguid=ONというクエリストリングを含めることにより、端末固有の7桁のIDがWebサーバに送
インターネットに重大な脆弱性が見つかる、各社が共同でパッチを作成
エジプト・カイロ(Cairo)のインターネットカフェで、海底ケーブルの損傷でインターネット回線に障害が発生する中、接続を試みる利用客(2008年1月31日撮影、資料写真)。(c)AFP/AMRO MARAGHI 【7月9日 AFP】コンピューター大手各社が、インターネットの基礎にかかわる脆弱(ぜいじゃく)性の解消に乗り出している。ハッカーがこの脆弱性を利用して、ワールドワイドウェブ(World Wide Web、WWW)を乗っ取る恐れもあるという。 この脆弱性を発見したのは、コンピューターセキュリティー会社「IOActive」の研究員ダン・カミンスキー(Dan Kaminsky)氏。約半年前、セキュリティーとは無関係のものを調べていた際、まったく偶然にその脆弱性を発見したという。 この脆弱性は、ドメインネームシステム(Domain Name System、DNS)に関するものだ。DNSはイ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
