ドコモはiモードIDの生成方法を見直すべきだ « mpw.jp管理人のBlog
昨年、「iモードID」の送出が開始されたことにより、「iモードID」のみでユーザ認証を行う携帯サイトが増えてきました。 そして、それら携帯サイトの中に、iモードIDハイジャック(悪意もった第三者による乗っ取り操作)の被害を受けると思われるサイトが、多数散見されます。 被害を受けるサイトの条件 ユーザ認証を「iモードID」のみで行っている。 FORMの入力内容をPOSTメソッドで送信しているものの、受け取り側でリクエストメソッドのチェックを行っていない。もしくは、GETメソッドで送信している。 iモードIDハイジャックの方法 以下のような形で登録処理を行っている攻撃対象サイト(targetdomain.com)を探す。 [http://targetdomain.com/form.php] <html> 会員登録開始<br> IDとパスワードとメアドを入力してください<br> <form me
iモード専用サイトのhtmlソースの閲覧方法 « mpw.jp管理人のBlog
iモードブラウザ2.0のJavaScriptを調査・研究する過程で、iモード専用サイトのhtmlソースを閲覧する方法を発見しました。 今回発見した方法を用いれば、「ドコモ・ゲートウェイ以外からのアクセスを禁止している」、「サーチエンジンのクロールを禁止している」、「XSS脆弱性が存在しない」の三つの条件を満たしているiモード専用サイトでも、htmlソースを閲覧することができます。 しかし、htmlソースを閲覧するためには、そのiモード専用サイトが別の二つの条件を満たしている必要があります。 htmlソースが閲覧可能なiモード専用サイトの条件 デフォルトホストで運用されている。(ヴァーチャルホストではない) iモードブラウザ2.0のJavaScriptからのアクセスを禁止していない。 iモード専用サイトのhtmlソースの閲覧方法 iモードブラウザ2.0のJavaScriptで、htmlソース
PCのブラウザからのYahoo!ケータイへのアクセス « mpw.jp管理人のBlog
ソフトバンクのスマートフォンを使用することによって、以下の方法で、パソコンのブラウザからYahoo!ケータイにアクセスすることができます。 ソフトバンクのスマートフォンにテザリングソフトをインストールする。 スマートフォンのAPをYahoo!ケータイ用に設定する。 PCとスマートフォンを接続して、スマートフォンがPCのモデムとして機能するように設定する。 PCのブラウザのUserAgentを海外系携帯電話(705NKなど)のものに変更する。 PCのブラウザで、Yahoo!ケータイのトップページにアクセスする。 なお、上記の方法で、Yahoo!ケータイのhtmlソースを閲覧し分析した結果、そのソースにはYahoo!ケータイ・コンテンツのDRMに深刻な打撃を与える情報までもが含まれているように感じました。 This entry was posted on 日曜日, 11月 22nd, 2009
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
