• ベストアンサー
  • すぐに回答を!

webアプリケーションの脆弱性について

最近CSRF攻撃についていろいろ勉強しています。 例として、mixiでの「ぼくはまちちゃん事件」というのが出てきましたが いまいちこの手法の仕組みが理解できません。 誰かの日記に一度、踏みやすそうなリンクを張っておいて、リンク先のページに 埋め込まれたタイトル情報と日記の中身の情報を含んだフォームを勝手にサブミットしてしまう。 という事かな。と思ったのですが、mixiの場合って「以下の内容で書き込んでもよろしいですか?」みたいなページとかが表示されるかと思います。 そういったページというのはどうなっていたのでしょうか。 というか、攻撃者が用意したダミーのリンク内ではどのようなページが表示されていたのでしょうか。 ご存知の方がいらっしゃいましたらご教授していただけないでしょうか。

共感・応援の気持ちを伝えよう!

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.1

こんにちは! 「フォームを勝手にサブミットしてしまう」 その認識でだいたいあってます!たぶん! そのmixiの例だと、 入力画面 → (送信1) → 確認画面 → (送信2) → 完了 ってなるわけですが、 いくら確認画面が間にあったところで、 (送信2)の部分を「勝手にサブミット」しちゃえばいいわけです。 ※ただし今のmixiや、ちゃんとしたwebサービスは送信時にトークンをつけるとかCSRF対策してるのでできません 実際の攻撃の例としては、mixiやtwitterなどの多くの人が繋がっている投稿型サイトで、 「こんにちはこんにちは!! このリンク先すごいよ! http://~」 のような書き込みをしておき、 そのリンク先でformやJavaScript等で「自動的に勝手にサブミット」してしまいます。 画面には何も表示されなくてもかまいません。 そしてさらに勝手に書き込む内容を 「こんにちはこんにちは!! このリンク先すごいよ! http://~」 のようにしてしまうことで、まるでワーム型ウイルスのように、 友達の繋がりを通じて連鎖的に広がります。 他には、GETリクエストで何らかの処理をされてしまうwebアプリに対して imgタグやiframeなどで、誰かに「勝手にリクエストを送信させてしまう」 なんてのもCSRFの事例のひとつです。 こわいですね。 このあたりのことを漫画で解説しているサイトもあるので、 いちどご覧になってみてはいかがでしょうか! http://gihyo.jp/dev/serial/01/hamachiya2/0001 絵がとってもかわいいですよ! あ、あと動画もありました。 http://www.youtube.com/watch?v=TcXO6v8BS1g

共感・感謝の気持ちを伝えよう!

質問者からのお礼

まさか・・・ぼくはまちちゃん事件の仕掛け人ご本人の方ですか!?ww とてもわかりやすい回答有難うございました。 絵、動画共に見やすくて理解が深まりました!

関連するQ&A

  • SEOの初歩的質問で恐縮です

    SEO対策初心者です。 被リンクについてですが、たとえばmixiや教えてgooなどからの被リンクは有効なのでしょうか? たとえば、mixiの日記とか、某大手掲示板などにサイトのURLを書きこんだ場合、被リンクとみなされるのでしょうか? このあたりの仕組みについてお教えいただけると幸いです。 宜しくお願いします。

    • ベストアンサー
    • HTML
  • WEBの作り

    (1). スターバックスのページなのですが、 上のCoffeeなどにカーソルをあわせると、下に大きなメニューが表示されるのですが、 どういう作りになっているのでしょうか、どこかにサンプルのようなものありますか? 単純に下にメニュー項目をならべるようなものは見つかったのですが・・・・・ http://www.starbucks.com/ (2). このスターバックスのページをパソコンでCoffeeをクリックするリンク先にとぶのですが、 ipadなどタブレットでみるとCoffeeをクリックしてもリンク先に飛ばず、 カーソルをあわせた時のメニューが表示されるような仕組みになっているのですが、この仕組みわかる方いましたら教えてください。

    • ベストアンサー
    • CSS
  • mixiの最新の日記に表示されない

    mixiの自分のトップページにある人の日記の更新情報が表示されないのです。 でもその人のところに行けば普通に見れます。 これはmixiの不具合なのでしょうか? それともそういう設定があるのでしょうか? もちろん私のほうからその人の日記の更新を表示しないといった設定はしていません。 あまり親しい間でもないので当人にも聞きづらく困っています。 よろしくお願いします。

  • mixiをやってるのですが・・・

    現在mixiに参加しているのですが日記を書いても、ページを表示できませんとしかならなくて困ってます。どうしたらいいのでしょうか? パソコンが安いのでもう壊れちゃったのかな? mixiで日記がかけないと困ります。

  • ダミー画像のようなページ運びできますか?

    重たい画像を使いたい時、ひとつの画像に本命とダミーの2つのファイルを使い、ダミーが本命のサイズに拡大されて現れ,そのうえに本命がゆっくりと表示される方法があるそうですが、これを重いページを呼び出す時に応用することって可能でしょうか? <IMG SRC="本命画像" LOWSRC="ダミー画像"> なぜ教えて頂きたいかと申しますと、レンタル画像日記をお借りしたのですが、時間帯によっては表示がかなり遅いため、日記が表示される前に「時間帯によっては表示が遅くなります。」というページを出したいと思ったからです。 アドバイスを宜しくお願い致します。

    • ベストアンサー
    • HTML
  • HPで浮き出るウィンドウの作り方

    HPなどでリンクボタンを押した時に、 表示させるページを別ウィンドウで表示させる方法を知りたいのですが、 やりたいことは、 リンクボタンを押す→見ているサイトに暗く半透明な影がかかる →サイトに重なって小ウィンドウが出現→リンク内容が表示される という物で・・・説明が下手ですみません。 mixiのタイムライン上や日記一覧などからリンクをクリックすると 日記が上記のように表示されるので、これがまさに理想の形なのですが mixiを見られない方用のサンプルサイトが見つかりませんでした 当方はhtmlを一通り理解しているがjavascriptは全くわかりません cssも少ししかわかりませんし、htmlもマニアックなものはわからない・・・ という申し訳ないレベルですが、 なるべくわかりやすく教えていただけたら幸いです

    • ベストアンサー
    • CSS
  • mixiのopen IDについて

    mixiのopen IDについて みなさん、こんにちわ。 とある方のmixiの日記のタイトルをリンクすると、 すぐに外部ブログにリンクしました。 また、その方の外部ブログ上にあるmixiのバナーをクリックしたら その方のmixiのページを見ることもできました。 自力で調べた結果、どうやらそれはopen IDという 技術だということまではわかったのですが、 私も自分のmixiの日記から外部無料ブログ(FC2やJUGEM)に リンクしたいのですが、やり方がわかりません。 どうか教えて下さい、宜しくお願いします。

  • SSIのようにして、CGIをページ内に表示させる

     通常のHTMLページにCGIを読み込むにはSSIなどの方法がありますが、  SSIを使っているページは左、中央、右といったように分かれていて、呼び出した日記を中央に表示させるとします。これだとトップページはSSIで問題なく表示出来ますが、その表示された日記にあるリンク(先月の日記、とか)をクリックして先月のページを表示させると、SSIの仕組みからして当然、最初に読み込んだ際のレイアウトは無視され、左、右のカラムは消えて、ただの日記だけのページになってしまいます。  iframeなど、別の表示方法もありますが、iframeなどのフレームはSEOの観点から避けたいと思っています。  SSIでは無理だとすると、このようなリンク先まで最初の読み込みレイアウトを維持して表示する方法はあるでしょうか。

    • ベストアンサー
    • HTML
  • mixiトップの「日記更新情報」がない

    mixiを数日前に始めたばかりの初心者です。 友人のページをみるに、mixiのトップって「日記更新情報」、「コミュニティ更新情報」、「マイミクシィ更新情報」があると思うんですが、 私のページに「日記更新情報」が見当たりません。タブすらないので、最小化しているわけではないと思います。 もしかしたらこの「日記更新情報」は、マイミクシィが誰か日記を更新したときにはじめて生成されるもので、それまでは影も形も見当たらないものなのでしょうか?

  • mixiからヤプログへリンク?

    現在ヤプログを使ってブログを書いています。 マイページでリンク元URLが表示され、どこから飛んできたかわかるようになっているのですが、先日初めて http://mixi.jp/view_message.pl?id=...(英数字の羅列)...=inbox という形でリンク元が表示されていました。 通常マイページで表示されていれば逆アクセスしてどんなページから訪問したのか、どんな言葉を検索してからたどり着いたのかなどわかるのですが、今回当然ながらmixiのトップページにつながるだけでした。 私のブログを知っているmixi会員の方がmixi内でリンク先として紹介しているのでしょうか? 私は会員ではないので仕組みがよくわかりません。 考えられる事、思いつくことがありましたら教えてください。 今はそこから1アクセスだけなので大丈夫だと思いますが何となく気になっています。