「クロスサイトリクエストフォージェリ」を編集中
ナビゲーションに移動
検索に移動
この編集を取り消せます。 下記の差分を確認して、本当に取り消していいか検証してください。よろしければ変更を保存して取り消しを完了してください。
最新版 | 編集中の文章 | ||
1行目: | 1行目: | ||
− | '''クロスサイトリクエストフォージェリ''' | + | '''クロスサイトリクエストフォージェリ'''とは、ページを見た人に他の掲示板に書き込ませるなどをさせることである。具体的にはこっそりフォームを作り、見えないiframeの中でサブミットして行う。クロスサイトスクリプティングで他の掲示板に書き込ませるスクリプトが埋め込まれた掲示板もこれだし、トリップ共有スクリプトもその一例である。 |
=攻撃対象の掲示板の対策= | =攻撃対象の掲示板の対策= | ||
*リファラをチェックする | *リファラをチェックする | ||
− | * | + | *掲示板を読み込む度にランダム文字列を発行してそれをhiddenで送らせ、発行した文字列でないと書き込めないようにする(ソロの掲示板や[[IDIOT.cgi]]でも採用) |
*画像認証を使う | *画像認証を使う | ||
*ID認証を使う | *ID認証を使う | ||
など、いくらでもある訳で、掲示板の代わりに設定変更やらショッピングにすればMOT悪いことも出来てしまいそうだがそういうのには最近はほぼ間違いなくこれらのような対策がされているので、多分無理である。 | など、いくらでもある訳で、掲示板の代わりに設定変更やらショッピングにすればMOT悪いことも出来てしまいそうだがそういうのには最近はほぼ間違いなくこれらのような対策がされているので、多分無理である。 | ||
− | = | + | =したらば掲示板= |
− | + | 所がしたらば掲示板ではまともな対策がされていない。リファラチェックは「したらば外部からの書き込みを規制」するしかなく、「他の掲示板からの書き込みを規制」が出来ない。かける様大学トリップ共有スクリプトが助け合い掲示板でも話題になっていたのにろくに対策する気はないらしい。 | |
− | + | トリップ共有スクリプトの他にも、話題になってないだけで平仮名荒らしとか一見まともな書き込みっぽいがよく見ると会話になってないとか、いくつか同様のスクリプトが存在していると思われる。 | |
− | + | もっともいずれも②とかで騒ぎになったこともないので、相当な規模の爆撃にならない限り[[ライブドア]]は動かないと思われる。 | |
− | |||
− | |||
− |