1. CSRF 攻撃
用語「CSRF」について http://bakera.jp/glossary/CSRF
CSRF 攻撃は対策されていない(重要な)アプリケーションに対して行われる。
ひとつのシナリオ
- 獲物が重要なサイトに(すでに)ログインしている状態で
- 仕掛けをほどこしたサイトに誘導する
重要なサイトで危険な操作を「確認操作」なしで行わせていると、非常に危険(CSRF)ということ。
- 確認の方法によっては危険を回避できていない可能性もある。(徳丸本 p. 147)
開発者のための正しいCSRF対策 (金床) http://www.jumperz.net/texts/csrf.htm
-- ToshinoriMaeno 2012-08-26 09:32:40
CSRFで逮捕者が出たらしい話 http://bakera.jp/ebi/topic/4699