KENJI’S BLOG このページをアンテナに追加 RSSフィード

Freezed...

2010-03-01

携帯電話関連のセキュリティ DNS Rebinding まとめ [自分用メモ]

  1. iモードブラウザ2.0でJavaScriptが本格的に有効になったので、XMLHttpRequestを使ってサーバと通信可能になった(2009年8月辺り?)
  2. DNS RebindingでJavaScriptのクロスドメイン制限が突破可能だと判明(2009年11月)
  3. iモードIDはguid=ONをURLの末尾につけることでサーバへ転送されるため、iモードIDで「かんたんログイン」していると「なりすまし」の可能性あり(2010年2月)
  4. [対策1] DNS RebindingするとHTTPリクエストのHostが本来のホスト名にならないため、バーチャルホストで運用すればOK
  5. [対策2] そもそもCGI側でHostを確認して、自ホスト以外なら弾くコードを追加すればOK?

スパム対策のためのダミーです。もし見えても何も入力しないでください
ゲスト

コメントを書くには、なぞなぞ認証に回答する必要があります。

トラックバック - http://d.hatena.ne.jp/kenjiaiko/20100301/1267463825
Connection: close