ExpiredExpired:掲載期限切れです この記事は,産経デジタル との契約の掲載期限(6ヶ月間)を過ぎましたので本サーバから削除しました。 このページは20秒後にITmedia ニュース トップページに自動的に切り替わります。
@IT: 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
ある日、大手SNS(Social Networking Site)のmixiの日記にこのような書き込みがあった。それも1人だけでなく、同日に数多くのユーザーの日記に同じ文面が掲載されていた。 これは、単にこのような文章がはやり、ユーザー自身が意図して掲載したのではなく、ある仕掛けによってユーザー自身が気付かないうちに引き起こされた現象なのである。その仕掛けとは、CSRF(Cross-Site Request Forgeries)と呼ばれる攻撃手法の一種だ。 編集部注: 現在、「はまちちゃん」トラップは、mixi運営者により対策されています。上記のサンプルは、mixi風に再構成したものです。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください
第2回 意図しない操作をさせられる「クロスサイト・リクエスト・フォージェリ」
今回はセッションに関連したぜい弱性について解説する。まずは,クロスサイト・リクエスト・フォージェリ(CSRF)を取り上げよう。 CSRFのぜい弱性とは,「サイト利用者が意図しないところで,何らかの情報変更を無理やり実行させられてしまう」問題のことである。例えば,「自分の名前で勝手にブログに書き込まれる」,「パスワードがいつのまにか書き換えられる」などといった問題が発生することになる。 攻撃は次のように実行される。 ユーザーが,ターゲット・サイト http://target.example.com にログインする。 http://target.example.comのサーバーが,ユーザーのブラウザにクッキーをセットする。 ユーザーが,メールによる誘導などによって,罠を仕掛けられた攻撃者のサイト http://attacker.example.com にアクセスする。 罠の例:ブログへの意図し
ネット安全:横浜、大阪両市のホームページに弱点- 毎日jp(毎日新聞)
インターネット上のホームページ(HP)などに犯罪予告が書き込まれた事件で、横浜、大阪両市のHPにセキュリティー上の弱点があったことが分かった。このうち横浜の事件では、不正な書き込みで以前から広く使われている攻撃手法が用いられており、犯行声明を出した「真犯人」が、横浜市のHPの弱点を見抜いた上で、簡単な手法で別人を犯人に仕立てあげたとみられる。両市は不正書き込み発覚後、セキュリティー対策を強化した。 両市のHPでは意見投稿欄に犯罪予告が書き込まれ、横浜のHPには今年6月、市内の小学校を襲撃するとの内容が書き込まれた。 書き込みは通常、HPのトップページから意見投稿欄に進み、書き込む。しかし、犯行声明の中で、真犯人が横浜の事件で使ったと明かす攻撃手法「クロスサイト・リクエスト・フォージェリ(CSRF)」を使えば、投稿欄からでなくても他人になりすまして外部から書き込みを掲載することが可能になる。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
James Gosling
