っつか - たぬきん貧乏日記 〜No Worry, No Hurry. Eat Curry!〜
日本語にすりゃいいんだよな。 やってみるか・・・ XSS → クロスサイトスクリプティング → 「サイト横断型スクリプト挿入攻撃」 わかりづらい? CSRF → クロスサイトリクエストフォージェリ → 「サイト横断型リクエスト偽造攻撃」 どうだ? んー。よくわからんかなあ。もっといい日本語化案があれば。 あとよく勘違いされるんだけど,XSS で Cookie 抜かれてセッションハイジャックってのばっかり言われてるけど,偽画面作れるってのがそもそもの脅威だからね。スクリプティング,っていうより,画面の限定期間一部改ざんっていうかそんな感じだと思いねぇ。なので,セッション抜かなくてもログイン画面をナニしてフォームのポスト先を変えちゃえばアカウント情報いただきーヒャホーとか,URL 短縮サービスとか経由してナニしてドメイン名とか SSL サーバ証明書とか真っ当なまんまで画面書き換えてヒャッホーと
XSSとCSRFの違い早わかり - たぬきん貧乏日記 〜No Worry, No Hurry. Eat Curry!〜
http://d.hatena.ne.jp/ockeghem/20071203 あー・・・・・ええと。うん。それ違うから。 私思うに、XSSとCSRFの決定的な違いは、以下の点ではないだろうか。 XSSは攻撃スクリプトがブラウザ上で動くが、CSRFはサーバー上で動く その表現は非常にまずい。まず「攻撃スクリプト」が混同されている。 少なくともサーバ上で「攻撃スクリプト」が動作するのはもう CSRF ではない。CSRF の場合,脆弱ではあっても悪意はない本来のスクリプトが記述された通りの「正常な」動作をしているにすぎないからだ。 第二に,CSRF でも悪意のスクリプトがブラウザ上で動作するパターンがある。というより記事内で例示されている CSRF ではブラウザ上で罠サイトに設置された攻撃スクリプトであるところの JavaScript が動作しているものだ。アプリケーションにポストする内容の話
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
