水無月ばけらのえび日記

DNSリバインディング問題の確認方法

公開: 2010年3月22日23時0分頃

「かんたんログイン」DNSリバインディング耐性のチェック方法 (www.hash-c.co.jp)。

IPアドレスを調べ、携帯端末からIPアドレスでアクセスしてみて問題なくアクセスできたらNG、という確認方法ですね。基本的にはこれで問題ないと思います。……基本的には。

実は少し前、とある携帯サイトのリニューアルのお仕事があって、いろいろテストしていたことがあります。その際、DNS Rebindingの問題についても、「IPアドレスでアクセスできないこと」をテストして確認していました。

しかし、ふと思ったわけです。厳密に言うと、「IPアドレスでアクセスできないこと」を確認するだけでは不十分で、「ニセのHost:が送られてきたときにアクセスできないこと」を確認する必要があるのではないかと。「IPアドレスでは蹴られるが、ニセのHost:だとアクセスできる」などという設定はまぁ無いだろうと思いつつ、念のため確認してみると……なんと、ニセのHost:でアクセスできてしまったのですね。

というわけで、世の中には「IPアドレスでは蹴られるが、ニセのHost:だとアクセスできる」という設定が実在するようなのです。そんなにメジャーな設定ではないと思うのですが、無いわけではないので、注意しておいた方が良いかと思います。

※と、書こうと思っている間に、既に徳丸さんの方で追記していただいたようです。ありがとうございます。

確認方法の例としては、wfetchやfiddlerのようなHTTPリクエストを作る・改変するツールを使って通常と違うHost:を送ってみるという方法がありますし、Hostsファイルに……

……などと書いてから example.com にアクセスしてみる、といった方法があります。

ただし、これらの方法はPCからアクセスできる場合にしか使えません。携帯キャリアのゲートウェイ以外からのアクセスを拒否しているような場合は、実際にDNSをいじって実機で確認する必要があります。これはなかなか面倒ですね……。

• 「DNSリバインディング問題の確認方法」へのコメント (7件)

関連する話題: セキュリティ / モバイル