話題の“まだ作成していないユーザーアカウント”を先回りして乗っ取る攻撃について図でまとめてみた - Qiita概要 アカウントを乗っ取る攻撃が私の中で話題だったので、理解しようと努めましたという記事です。 その元記事はこちら↓ とのことなので、有名サイトでもこの脆弱性を抱えていることになります。 この記事に出てくる攻撃方法は 5つ あり、文章だとピンと来なかったのでシーケンス図に書き出してみました。 乗っ取りはすごい怖いですね... RDSの本番DBをtruncateしていくよりも下手したら損害が出る可能性もあるのでは?と思ってしまいます。 さて、本記事はこんなことかな?とふんわり書いているので、間違っていたら指摘していただけると嬉しいです Classic-Federated Merge Attack 攻撃者が被害者のメールアドレスを使い、先回りしてサービスのアカウントを作成しておく。被害者が「Googleでログイン」などでそのサービスにログインした場合にアドレスが統合されるため乗っ取りが成功する
