水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > DNSリバインディング問題の確認方法

DNSリバインディング問題の確認方法

2010年3月19日(金曜日)

DNSリバインディング問題の確認方法

公開: 2010年3月22日23時0分頃

「かんたんログイン」DNSリバインディング耐性のチェック方法 (www.hash-c.co.jp)

IPアドレスを調べ、携帯端末からIPアドレスでアクセスしてみて問題なくアクセスできたらNG、という確認方法ですね。基本的にはこれで問題ないと思います。……基本的には。

実は少し前、とある携帯サイトのリニューアルのお仕事があって、いろいろテストしていたことがあります。その際、DNS Rebindingの問題についても、「IPアドレスでアクセスできないこと」をテストして確認していました。

しかし、ふと思ったわけです。厳密に言うと、「IPアドレスでアクセスできないこと」を確認するだけでは不十分で、「ニセのHost:が送られてきたときにアクセスできないこと」を確認する必要があるのではないかと。「IPアドレスでは蹴られるが、ニセのHost:だとアクセスできる」などという設定はまぁ無いだろうと思いつつ、念のため確認してみると……なんと、ニセのHost:でアクセスできてしまったのですね。

というわけで、世の中には「IPアドレスでは蹴られるが、ニセのHost:だとアクセスできる」という設定が実在するようなのです。そんなにメジャーな設定ではないと思うのですが、無いわけではないので、注意しておいた方が良いかと思います。

※と、書こうと思っている間に、既に徳丸さんの方で追記していただいたようです。ありがとうございます。

確認方法の例としては、wfetchやfiddlerのようなHTTPリクエストを作る・改変するツールを使って通常と違うHost:を送ってみるという方法がありますし、Hostsファイルに……

218.219.246.132 example.com

……などと書いてから example.com にアクセスしてみる、といった方法があります。

ただし、これらの方法はPCからアクセスできる場合にしか使えません。携帯キャリアのゲートウェイ以外からのアクセスを拒否しているような場合は、実際にDNSをいじって実機で確認する必要があります。これはなかなか面倒ですね……。

関連する話題: セキュリティ / モバイル

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト