前回クロスサイトスクリプティングを
記事にしましたが、今回もクロスサイトです。
・クロスサイトリクエストフォージュリ(CSRF)の事例クロスサイトリクエストフォージュリの事例としてよくあるのが、
不特定の人が書き込む掲示板等にjavascriptを含めたリンク入りの記事を投稿するパターンです。
一時期1pxのiframeを埋め込む攻撃がはやりましたね。
この事例では以下のようなことができます。
他サイトの掲示板に自動で投稿するようなスクリプトを埋めこむ。
ユーザーのcookieの情報を他サイトに転送する。
・どのような対策が必要かクロスサイトリクエストフォージュリには、万能な対策はありません。
対策をするとしたら、
ユーザー側は、誰が書き込んだかわからないようなリンクは、クリックで飛ぶのではなく、URLをコピーして、ブラウザに貼り付けて、URLに問題がないか確認してからページを表示するとよいでしょう。
WEBをよく利用する人は掲示板等で、
「ttp://~」とhを抜いたテキストのURLを見たことがあると思います。
これは、この攻撃を防ぐことができるのです。
サイト運用者の対策としては、リファラーチェックとか、画面遷移でのチケット発行ぐらいでしょうか。
