第2回 意図しない操作をさせられる「クロスサイト・リクエスト・フォージェリ」
今回はセッションに関連したぜい弱性について解説する。まずは,クロスサイト・リクエスト・フォージェリ(CSRF)を取り上げよう。 CSRFのぜい弱性とは,「サイト利用者が意図しないところで,何らかの情報変更を無理やり実行させられてしまう」問題のことである。例えば,「自分の名前で勝手にブログに書き込まれる」,「パスワードがいつのまにか書き換えられる」などといった問題が発生することになる。 攻撃は次のように実行される。 ユーザーが,ターゲット・サイト http://target.example.com にログインする。 http://target.example.comのサーバーが,ユーザーのブラウザにクッキーをセットする。 ユーザーが,メールによる誘導などによって,罠を仕掛けられた攻撃者のサイト http://attacker.example.com にアクセスする。 罠の例:ブログへの意図し
クロスサイト・リクエスト・フォージェリ
クロスサイト・リクエスト・フォージェリ(forgery=偽造)は,踏み台サーバーを閲覧したユーザーから攻撃対象となっているWebサーバーに対し,閲覧者が意図していないHTTPリクエストを送らせる攻撃手法です。CSRF(またはXSRF)と呼ぶこともあります。 CSRFは,掲示板への書き込みを実行するURLをクリックさせるなどの攻撃手法として,比較的古くから知られています。2005年ころに,ログインが必要なWebサイトを攻撃対象としたCSRFが登場し始めたことから,大きな被害につながる恐れのある攻撃手法として認識されるようになりました。 攻撃者は踏み台サーバーに,攻撃対象サーバーへのリクエストを発行するリンクやスクリプトを挿入しておきます。このリンクやスクリプトは,踏み台サーバーを閲覧したユーザーのブラウザに送り込まれます。閲覧者が誤ってこのリンクをクリックするなどの操作をすると,攻撃対象サー
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
