ã“れ㯠CSRF ã§ã™ã‹? | 水無月ã°ã‘らã®ãˆã³æ—¥è¨˜Webアプリケーションã®ä¸ã«ã¯ï¼Œã‚»ãƒƒã‚·ãƒ§ãƒ³IDã‚’æ ¼ç´ã—ãŸã‚¯ãƒƒã‚ーを発行ã™ã‚‹ã‚‚ã®ãŒã‚る。例ãˆã°SNSã®ã‚ˆã†ãªä¼šå“¡åˆ¶ã‚µãƒ¼ãƒ“ス,Webメール,オンライン・ショッピングãªã©ã§ã‚ˆã使ã‚れる。セッションIDã¯èªè¨¼æ¸ˆã¿ã®ãƒ¦ãƒ¼ã‚¶ãƒ¼ã«å¯¾ã—ã¦ç™ºè¡Œã•ã‚Œã‚‹ãŸã‚,ã“れを奪ã„å–られるã¨ç¬¬ä¸‰è€…ã«ã‚ˆã‚‹ãªã‚Šã™ã¾ã—を許ã—ã¦ã—ã¾ã†ã€‚ã“れを狙ã£ã¦ï¼Œãƒ¦ãƒ¼ã‚¶ãƒ¼ãŒæ°—付ã‹ãªã„ã†ã¡ã«ãƒ–ラウザを「乗ã£å–ã‚‹ã€ã®ãŒï¼ŒCSRFã®ãœã„弱性をçªã攻撃ã§ã‚る。 ãˆãƒ¼ã£ã€‚ã¡ãŒã†ã‚ˆã€å…¨ç„¶ã¡ãŒã†ã‚ˆ! ã“ã®èª¬æ˜Žã¯å˜ãªã‚‹ Cookie 奪å–ã«ã‚ˆã‚‹ã‚»ãƒƒã‚·ãƒ§ãƒ³ãƒã‚¤ã‚¸ãƒ£ãƒƒã‚¯ã§ã€CSRF ã§ã¯ãªã„ã¨æ€ã„ã¾ã™ã€‚ã‚€ã—ã‚「Cookie ã®å¥ªå–ãŒå¿…è¦ãªã„ã€ã¨ã„ã†ã®ãŒ CSRF ã®ãƒã‚¤ãƒ³ãƒˆã ã¨æ€ã„ã¾ã™ã—。 図もやや微妙ã§ã™ã……。図㮠4番㧠CSRF 攻撃ã«ã‚ˆã‚‹ãƒ‘スワード変更ãŒè¡Œã‚ã‚ŒãŸå¾Œã€5番ã§ã¯ãã®ãƒ‘スワードを使ã£ã¦æ”»æ’ƒè€…ãŒã‚¢ã‚¯ã‚»ã‚¹ã—ã¦ã„ã¾ã™ã€‚ã“ã‚Œã¯ã“ã‚Œã§é–“é•ã£ã¦ã¯ã„ãªã„ã®ã§
twitterã«ã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング(XSS)脆弱性ãŒã‚ã‚Œã°ãƒ‘スワードを変更ã§ãã‚‹ - ockeghem's blog
ã¯ã³ã“る「インジェクション系ã€ã®ãœã„弱性:ITpro
{{#tags}}- {{label}}
{{/tags}}