一昨日の情報なんだが、えらいことにwwwww
◆最新29機種ドコモ携帯、個人情報流出の恐れ
http://www.yomiuri.co.jp/national/news/20100112-OYT1T00842.htm?from=nwlb
[[概要]]
Docomoのiモードブラウザ2.0搭載機を通じて、
利用者の個人情報を不正取得される恐れのあることが、専門家の指摘で発覚。
要はjavaScriptとguidがいたずらしちゃいます。
要はDNSリバインディングってやつです。
それにしても・・・
>NTTドコモでは、公式サイトを運営する約3000社には注意喚起したが、
>それ以外の無数にある「勝手サイト」には「ジャバスクリプトの安全な利用は
>サイトを作る側にとって基本的知識であり、具体的に説明はしていない」という。
無責任にもほどがあんだろ(--;
携帯コンテンツにjavaScriptが載ったのなんて最近の話じゃないか。
↓はこの脆弱性を検証してみたっていう情報。
◆iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性
(HASHコンサルティング株式会社)
http://www.hash-c.co.jp/info/20091124.html
・・・・情報でてるのって去年かよ(-д-;
世間バレするのに1ヶ月半かかってるわけだが、大丈夫なんだろーかね?
色々漁ってたら、こんなんも見つけた。
●iモード専用サイトのhtmlソースの閲覧方法
http://mpw.jp/blog/2009/11/188.html
携帯コンテンツもそろそろ本格的にセキュリティ対策が必要になってきたなぁ
そういやさ、今回は
>URLにguid=ONというクエリストリングを含めることにより、
>端末固有の7桁のIDがWebサーバに送出される。
↑なんだけど、
これって攻撃側のサーバーも公式コンテンツのサーバーだったら、
uid=NULLDOCOMOも行けんじゃねーの?と思ってみた。
検証も何もしていない。
思いついただけ。どうなんだろう?
・・・公式乗せてるサーバーで実験するなんて恐ろしい真似は絶対しないけど。
最近、サイト書き換えのウイルスとか流行ってるからなぁ。