DNSリバインディング問題の確認方法
2010年3月19日(金曜日)
DNSリバインディング問題の確認方法
公開: 2010年3月22日23時0分頃
「かんたんログイン」DNSリバインディング耐性のチェック方法 (www.hash-c.co.jp)。
IPアドレスを調べ、携帯端末からIPアドレスでアクセスしてみて問題なくアクセスできたらNG、という確認方法ですね。基本的にはこれで問題ないと思います。……基本的には。
実は少し前、とある携帯サイトのリニューアルのお仕事があって、いろいろテストしていたことがあります。その際、DNS Rebindingの問題についても、「IPアドレスでアクセスできないこと」をテストして確認していました。
しかし、ふと思ったわけです。厳密に言うと、「IPアドレスでアクセスできないこと」を確認するだけでは不十分で、「ニセのHost:が送られてきたときにアクセスできないこと」を確認する必要があるのではないかと。「IPアドレスでは蹴られるが、ニセのHost:だとアクセスできる」などという設定はまぁ無いだろうと思いつつ、念のため確認してみると……なんと、ニセのHost:でアクセスできてしまったのですね。
というわけで、世の中には「IPアドレスでは蹴られるが、ニセのHost:だとアクセスできる」という設定が実在するようなのです。そんなにメジャーな設定ではないと思うのですが、無いわけではないので、注意しておいた方が良いかと思います。
※と、書こうと思っている間に、既に徳丸さんの方で追記していただいたようです。ありがとうございます。
確認方法の例としては、wfetchやfiddlerのようなHTTPリクエストを作る・改変するツールを使って通常と違うHost:を送ってみるという方法がありますし、Hostsファイルに……
218.219.246.132 example.com
……などと書いてから example.com にアクセスしてみる、といった方法があります。
ただし、これらの方法はPCからアクセスできる場合にしか使えません。携帯キャリアのゲートウェイ以外からのアクセスを拒否しているような場合は、実際にDNSをいじって実機で確認する必要があります。これはなかなか面倒ですね……。
- 「DNSリバインディング問題の確認方法」へのコメント (7件)
- 前(古い): CAPTCHAの演出
- 次(新しい): 修道女の赤き影、クリア?