回答編集履歴
2
修正
test
CHANGED
|
@@ -60,7 +60,7 @@
|
|
|
60
60
|
|
|
61
61
|
二要素認証は、ユーザー自らの入力により認証を2回行うことですね。
|
|
62
62
|
|
|
63
|
-
|
|
63
|
+
1つ目の認証がOKだと、もう1つ認証画面を挟んで、そこでコメントに記載されているような
|
|
64
64
|
|
|
65
65
|
『ユーザだけが知っている何か』
|
|
66
66
|
|
|
@@ -72,7 +72,7 @@
|
|
|
72
72
|
|
|
73
73
|
|
|
74
74
|
|
|
75
|
-
他にも
|
|
75
|
+
他にも1つ目の認証がOKだと、登録されているメールアドレスにアクセストークンを送信し、
|
|
76
76
|
|
|
77
77
|
そのアクセストークンを入力してもらうなどもあります。
|
|
78
78
|
|
1
修正
test
CHANGED
|
@@ -50,13 +50,11 @@
|
|
|
50
50
|
|
|
51
51
|
これは二要素認証ではないです。
|
|
52
52
|
|
|
53
|
-
|
|
53
|
+
レスポンスボディを見れば、どれがトークンかはわかりますので、
|
|
54
54
|
|
|
55
|
-
|
|
55
|
+
それをリクエストに乗せればトークンチェックをすり抜けることは可能ですし、
|
|
56
56
|
|
|
57
|
-
不正アクセスとして一発退場させることはできますが、
|
|
58
|
-
|
|
59
|
-
単純にブラウザでのログイン処理を自動化するプログラムで
|
|
57
|
+
単純にブラウザでのログイン処理を自動化するプログラムでも攻撃は可能です。
|
|
60
58
|
|
|
61
59
|
|
|
62
60
|
|