エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
記事へのコメント90件
- 注目コメント
- 新着コメント
acealpha
やられた経験上で知ってる限りでいうとspotify、instagram、playstation、Uber、discordにはこの脆弱性がある 全部メールアドレスの確認を怠った哀れなサービスだ
mmddkk
諸悪の根源は「メールアドレスの確認をしないでアカウント作成」するサービスだな。この機会に撲滅されてほしい。ちなみに私のGmailには間違い登録メールがたくさん届くので、やろうと思えば乗っ取れたりして。
medihen
"SSOを逆手に取った攻撃" コードの作成は必要ない攻撃のようだから、これだけ手口を具体的に書いてしまうといたずらも多発しそう。防御は、Webサービスに使うメアドを別に用意して非公開にすることか?
bluerabbit
アカウント作成時にメールアドレス確認は必須。パスワードリセットでセッションを破棄しないといけないし、破棄できるようにセッションにCookieStoreは避けるか破棄できる仕組みを事前に組み込んでおく必要がある。
strawberryhunter
メールアドレスに対してIdPは1つに固定するだけでかなりマシになりそう。メールアドレスかパスワードを変更したら古いトークンやセッションを無効にすることも必要だな。単一デバイス前提ならログインでも。
uehaj
メール到達を確認せずにメールアドレスアカウントを作れる場合、そのアカウントで誹謗中傷や脅迫行為しまくっておけば、後から本人が実際にそこでアカウントを作らなくてすら、人を陥れることができるな。
dltlt
なるほど……被害者が(以前に作成したのを忘れてたと思いこんで)リセットをかけると、当人のメルアドにリセットコード or URLが届いて、先回りアカウントをリセット⇒使用開始できちゃうからか。
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
いまの話題をアプリでチェック!
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
“まだ作成していないユーザーアカウント”を先回りして乗っ取る攻撃 米Microsoftなどが指摘
Innovative Tech‥ このコーナーでは、テクノロジーの最新研究を紹介するWebメディア﹁Seamless﹂を主宰...概要を表示
Innovative Tech‥ このコーナーでは、テクノロジーの最新研究を紹介するWebメディア﹁Seamless﹂を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 セキュリティ研究者Avinash Sudhodananさんと米Microsoft Security Response Centerの研究者が発表した﹁Pre-hijacked accounts: An Empirical Study of SecurityFailures in User Account Creation on the Web﹂は、まだ作成していないWebサービスのアカウントを乗っ取る攻撃をテストし脆弱性を示した論文だ。 具体的に5種類の攻撃を提案し75のWebサイトで試したところ、35のサイトで乗っ取りに成功したという。その中には、ZoomやInstagram、Drop
2022/07/07 リンク