このURLは大丈夫か?
https://www.amazon.co.jp:usodayo@king.mineo.jp/staff_blogs/2596
Amazonのリンクっぽいけどスタッフブログに飛ばされるURLのテスト
basic認証の情報入力省略機能を悪用したケースを試してみました。
www.amazon.co.jpというユーザー名とusodayoというパスワードをking.mineo.jp/staff_blogs/2596というページに渡しているだけなので、king.mineo.jp/staff_blogs/2596に飛ぶんですね。
フィッシングメールでも見られる手法らしいので、頭の隅に置いておくといつか役立つかも?
ちゃんとした解説はこちら
https://youtu.be/vmjqAPkSPIM?si=KHMuB1x8dIZTetZC&t=427
私はこれを見るまで知らなかった
リンク切れるからビッグソリッドスは対策済みらしい
https://www.amazon.co.jp⧸aaa⧸bbb:ccc@king.mineo.jp/staff_blogs/2596
web,アプリgmailも同様
5 件のコメント
コメントするには、ログインまたはメンバー登録(無料)が必要です。
過去に使ったことが有る機能ですが、認証内容をURLに書く時点で今一使い道が無いな、ってんですっかり忘れて居た機能です。
こんなの機能掘り出して使うとか、フィッシングメール作る人勉強好きにも程が有ります。
URLに「@」が入ってたら要注意って呼びかけなきゃ。
https://forest.watch.impress.co.jp/docs/serial/yajiuma/1620057.html
私が忘れていただけで、この手法自体は結構使われて居るみたいですね。
私が無事だったのは「今まで見たことが無かった」か、「@入りのURLは普通使わないという記憶」だけが有ったための様な気がします。
(使わない理由は忘れていたので、冷静に考えたりしたら寧ろ危なかったかもしれません)
>> とくな のぞむ さん
@受け付けるのか見てみました。使えるんですね…
https://king.mineo.jp/@@
@そのものと、URLエンコードしたもの(%40)はどちらも見分けがつきませんね😂
思い出したのですが、オレオレ詐欺ってすでに家を出ている子どもがいる親に対してしか使えない技で、私の母親にかかってきた際、「あれ?さっきまで寝ていたと思ったけどいつ起きたの?」と反応したという話を思い出しました。