Part3では,ログイン中のエンドユーザーのパソコンをスクリプトで操る「クロスサイト・リクエスト・フォージェリ」という手口が,いったいどんな攻撃か,細かく見てみよう。 クラッカが正規ユーザーの意図に反してWebアプリを勝手に操作する攻撃がある。Webサイトはユーザーを,IDとパスワードの組や,セッションIDと呼ぶ情報で識別している。クラッカがWebアプリを勝手に操作するには,ユーザーのIDとパスワードやセッションIDを盗む必要があると思うかもしれないが,それは間違い。これらを盗まなくても,ログイン中のエンドユーザーのパソコンをスクリプトで操る「クロスサイト・リクエスト・フォージェリ」という手口を使えば,会員を偽って不正アクセスができる。 クロスサイト・リクエスト・フォージェリによる攻撃は,会員制サイト「mixi(ミクシィ)」で実際に発生した。書き込まれた内容が他愛もないもので,mixiの対
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く