水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2007年のえび日記 > 2007年12月 > 2007年12月17日(月曜日)

2007年12月17日(月曜日)

これは CSRF ですか?

Webアプリの落とし穴に改めて注意 (itpro.nikkeibp.co.jp)」という記事が。

Webアプリケーションの中には,セッションIDを格納したクッキーを発行するものがある。例えばSNSのような会員制サービス,Webメール,オンライン・ショッピングなどでよく使われる。セッションIDは認証済みのユーザーに対して発行されるため,これを奪い取られると第三者によるなりすましを許してしまう。これを狙って,ユーザーが気付かないうちにブラウザを「乗っ取る」のが,CSRFのぜい弱性を突く攻撃である。

えーっ。ちがうよ、全然ちがうよ!

この説明は単なる Cookie 奪取によるセッションハイジャックで、CSRF ではないと思います。むしろ「Cookie の奪取が必要ない」というのが CSRF のポイントだと思いますし。

図もやや微妙ですね……。図の 4番で CSRF 攻撃によるパスワード変更が行われた後、5番ではそのパスワードを使って攻撃者がアクセスしています。これはこれで間違ってはいないのですが、「ぼくはまちちゃん」のように、5番のステップが存在しない CSRF 攻撃もありますので注意が必要です。5番はオマケで、攻撃が成立しているのはあくまで 4番の部分ですが、図では 5番が強調されすぎている気がします。

関連する話題: Web / セキュリティ / ITpro / CSRF / CSRFではない

最近の日記

関わった本など