これは CSRF ですか?
2007年12月17日(月曜日)
これは CSRF ですか?
「Webアプリの落とし穴に改めて注意 (itpro.nikkeibp.co.jp)」という記事が。
Webアプリケーションの中には,セッションIDを格納したクッキーを発行するものがある。例えばSNSのような会員制サービス,Webメール,オンライン・ショッピングなどでよく使われる。セッションIDは認証済みのユーザーに対して発行されるため,これを奪い取られると第三者によるなりすましを許してしまう。これを狙って,ユーザーが気付かないうちにブラウザを「乗っ取る」のが,CSRFのぜい弱性を突く攻撃である。
えーっ。ちがうよ、全然ちがうよ!
この説明は単なる Cookie 奪取によるセッションハイジャックで、CSRF ではないと思います。むしろ「Cookie の奪取が必要ない」というのが CSRF のポイントだと思いますし。
図もやや微妙ですね……。図の 4番で CSRF 攻撃によるパスワード変更が行われた後、5番ではそのパスワードを使って攻撃者がアクセスしています。これはこれで間違ってはいないのですが、「ぼくはまちちゃん」のように、5番のステップが存在しない CSRF 攻撃もありますので注意が必要です。5番はオマケで、攻撃が成立しているのはあくまで 4番の部分ですが、図では 5番が強調されすぎている気がします。
- 「これは CSRF ですか?」にコメントを書く
- 前(古い): みんなのニンテンドーチャンネルで残念な思い
- 次(新しい): ガッシュ31
