水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > mixi で CSRF

mixi で CSRF

2005年4月20日(水曜日)

mixi で CSRF

やじうま Watch (internet.watch.impress.co.jp)より。

あるユーザーが、リンクをクリックしただけで日記に「ぼくはまちちゃん!」が投稿されるイタズラを仕掛けていたのだった。1人のユーザーが引っかかると、その「はまちちゃん」日記を開いた別のユーザーがリンクをクリックするから、ウイルスのように増殖していく。はてなダイアリー「おれはおまえのパパじゃない」によれば、19日12時から17時までの間に、400人以上のユーザーの日記に「はまちちゃん」が現れたようだ。mixi運営側では対策を取っているようで小康状態が続いているが、「はまちちゃん」のバージョンも上がり、20日昼までに3版目となっている。

CSRFですね。mixi の日記を読むときは確実にログイン中のはずですから、がんがん行けます。

しかしこれ、「IPA のドキュメントに CSRF の事が出ていたので PoC を作ってみた」とかいう話だったら嫌だなぁ。

※「MT で CSRF」のときには「この名前はあんまり一般的ではないのかなぁ」という感想だったわけですが、これでだいぶ知名度が上がったのではないかと思います。ある意味よかった?

関連する話題: セキュリティ / CSRF

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト