水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > MT で CSRF

MT で CSRF

2004年11月1日(月曜日)

MT で CSRF

更新: 2005年7月18日

ちょいと Movable Type の話をしていて yuuさん (w3j.org)に教えていただいたのですが、Movable Type には CSRF攻撃の問題があるみたいですね。「MT をインストールしたら真っ先に行うべきセキュリティ対策 (hxxk.jp)

※2005-07-18追記: リンク先の記事はパワーアップして移動しているようです : 「Movable Type における CSRF の可能性と各種対処法 (hxxk.jp)

しかし、ちゃんと CSRF という名前があるのに全然出てこないというのが……。この名前はあんまり一般的ではないのかなぁ。

※XSS に比べると遙かにマイナーだとは思いますが。ちなみに CSRF というのは "Cross-Site Request Forgeries" の略で、要するに「編集」「削除」などのコマンドを実行するような URL を踏ませる攻撃です。ふつうの人が踏んでも何も起きませんが、管理者権限でログイン済みの人が踏むとコマンドが実行されてしまったりするわけで。スクリプトが有効なら POST させることも簡単ですから、POST だからといって油断することもできません。

関連する話題: セキュリティ / CSRF / Movable Type

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト