回答編集履歴
2
修正
answer
CHANGED
|
@@ -29,13 +29,13 @@
|
|
|
29
29
|
単純にブラウザでのログイン処理を自動化するプログラムでも攻撃は可能です。
|
|
30
30
|
|
|
31
31
|
二要素認証は、ユーザー自らの入力により認証を2回行うことですね。
|
|
32
|
-
|
|
32
|
+
1つ目の認証がOKだと、もう1つ認証画面を挟んで、そこでコメントに記載されているような
|
|
33
33
|
『ユーザだけが知っている何か』
|
|
34
34
|
『ユーザだけが所有している何か』
|
|
35
35
|
『ユーザ自身の特性(指紋など)』
|
|
36
36
|
を入力させたりといったものです。
|
|
37
37
|
|
|
38
|
-
他にも
|
|
38
|
+
他にも1つ目の認証がOKだと、登録されているメールアドレスにアクセストークンを送信し、
|
|
39
39
|
そのアクセストークンを入力してもらうなどもあります。
|
|
40
40
|
メールの確認にはメールアカウントの認証が必要になりますので、二要素認証となります。
|
|
41
41
|
|
1
修正
answer
CHANGED
|
@@ -24,10 +24,9 @@
|
|
|
24
24
|
> csrf対策のトークンがクライアント側に設置されています。
|
|
25
25
|
|
|
26
26
|
これは二要素認証ではないです。
|
|
27
|
-
|
|
27
|
+
レスポンスボディを見れば、どれがトークンかはわかりますので、
|
|
28
|
-
このトークンがリクエストに乗ってこないので、
|
|
29
|
-
|
|
28
|
+
それをリクエストに乗せればトークンチェックをすり抜けることは可能ですし、
|
|
30
|
-
単純にブラウザでのログイン処理を自動化するプログラムで
|
|
29
|
+
単純にブラウザでのログイン処理を自動化するプログラムでも攻撃は可能です。
|
|
31
30
|
|
|
32
31
|
二要素認証は、ユーザー自らの入力により認証を2回行うことですね。
|
|
33
32
|
通常のログインを突破すると、もう1個認証画面を挟んで、そこでコメント記載されてるような
|