mixi で CSRF

2005年4月20日(水曜日)

mixi で CSRF

やじうま Watch (internet.watch.impress.co.jp)より。

あるユーザーが、リンクをクリックしただけで日記に「ぼくはまちちゃん！」が投稿されるイタズラを仕掛けていたのだった。1人のユーザーが引っかかると、その「はまちちゃん」日記を開いた別のユーザーがリンクをクリックするから、ウイルスのように増殖していく。はてなダイアリー「おれはおまえのパパじゃない」によれば、19日12時から17時までの間に、400人以上のユーザーの日記に「はまちちゃん」が現れたようだ。mixi運営側では対策を取っているようで小康状態が続いているが、「はまちちゃん」のバージョンも上がり、20日昼までに3版目となっている。

CSRFですね。mixi の日記を読むときは確実にログイン中のはずですから、がんがん行けます。

しかしこれ、「IPA のドキュメントに CSRF の事が出ていたので PoC を作ってみた」とかいう話だったら嫌だなぁ。

※「MT で CSRF」のときには「この名前はあんまり一般的ではないのかなぁ」という感想だったわけですが、これでだいぶ知名度が上がったのではないかと思います。ある意味よかった?

「mixi で CSRF」にコメントを書く

関連する話題: セキュリティ / CSRF

前(古い): 退会の理由
次(新しい): Windows Server 2003 の IE6