タグ

ブックマーク / mpw.jp (1)

  • ドコモはiモードIDの生成方法を見直すべきだ « mpw.jp管理人のBlog

    昨年、「iモードID」の送出が開始されたことにより、「iモードID」のみでユーザ認証を行う携帯サイトが増えてきました。 そして、それら携帯サイトの中に、iモードIDハイジャック(悪意もった第三者による乗っ取り操作)の被害を受けると思われるサイトが、多数散見されます。 被害を受けるサイトの条件 ユーザ認証を「iモードID」のみで行っている。 FORMの入力内容をPOSTメソッドで送信しているものの、受け取り側でリクエストメソッドのチェックを行っていない。もしくは、GETメソッドで送信している。 iモードIDハイジャックの方法 以下のような形で登録処理を行っている攻撃対象サイト(targetdomain.com)を探す。 [http://targetdomain.com/form.php] <html> 会員登録開始<br> IDとパスワードとメアドを入力してください<br> <form me

  • 1