クイズ:XSSã¨CSRFã¯ã©ã“ã«ã‚ã‚Šã¾ã™ã‹? - ockeghem's blogå…ˆã®æ—¥è¨˜(XSSã¯ãƒ–ラウザ上ã§ã‚¹ã‚¯ãƒªãƒ—トãŒå‹•ãã€CSRFã¯ã‚µãƒ¼ãƒãƒ¼ä¸Šã§ã‚¹ã‚¯ãƒªãƒ—トãŒå‹•ã - ockeghem(徳丸浩)ã®æ—¥è¨˜)ã¯ã€ä»•è¾¼ã‚“ã ãƒã‚¿ãŒã‚ãŸã£ã¦å¤šãã®æ–¹ã«èªã‚“ã§ã„ãŸã ã„ãŸã€‚ç´°ã‹ã„内容ã«ã¤ã„ã¦ã¯ã€é ‚戴ã—ãŸæ‰¹åˆ¤ã‚„åçœã‚‚ã‚ã‚‹ãŒã€ã“ã®ãƒ†ãƒ¼ãƒžã«å¯¾ã—ã¦å¤šãã®é–¢å¿ƒã‚’集ã‚ã‚‹ã“ã¨ãŒã§ããŸã®ã¯è‰¯ã‹ã£ãŸã¨æ€ã†ã€‚今回もã€æ‰‹ã‚’変ãˆå“を変ãˆã¦ã€XSSã¨CSRFã®é•ã„を説明ã—よã†ã€‚ã¨ã„ã†ã“ã¨ã§ã€ä»Šå›žã¯ã‚¯ã‚¤ã‚ºä»•ç«‹ã¦ã«ã—ã¦ã¿ãŸã€‚ ã¨ã„ã£ã¦ã‚‚ã€éžå¸¸ã«ç°¡å˜ãªã‚¯ã‚¤ã‚ºã 。 èªè¨¼ã‚’å¿…è¦ã¨ã™ã‚‹ä¼šå“¡åˆ¶ã‚µã‚¤ãƒˆmaitter.comã§ã€å€‹äººæƒ…å ±ã‚’å…¥åŠ›ã™ã‚‹ç”»é¢ãŒã‚る。典型的ãªã€å…¥åŠ›(A)-確èª(B)-登録(C)ã¨ã„ã†ç”»é¢é·ç§»ï¼ˆä¸‹å›³ï¼‰ã‚’想定ã—ãŸå ´åˆã€ XSSãŒç™ºç”Ÿã—ã‚„ã™ã„ç”»é¢ã‚’一ã¤ã‚ã’よ CSRFãŒç™ºç”Ÿã—ã‚„ã™ã„ç”»é¢ã‚’一ã¤ã‚ã’よ ã¨ã„ã†ã‚‚ã®ã (入力画é¢ã¯åˆæœŸå…¥åŠ›ã®ã¿æƒ³å®š)。エラー時ã®æŒ™å‹•ãªã©ã¯æŒ‡å®šã•ã‚Œã¦ã„ãªã„ã®ã§æƒ³å®šã—ãªã„ã‚‚ã®ã¨ã™ã‚‹ã€‚ 解
{{#tags}}- {{label}}
{{/tags}}