クロスサイトリクエストフォージェリ
2010年10月21日 (木) 11:40時点におけるハイテクサイバーポリス43号 (トーク | 投稿記録)による版 (202.213.96.253 (トーク) による編集を ハイテクサイバーポリス43号 による直前の版へ差し戻し)
クロスサイトリクエストフォージェリとは、ページを見た人に他の掲示板に書き込ませるなどをさせることである。具体的にはこっそりフォームを作り、見えないiframeの中でサブミットして行う。クロスサイトスクリプティングで他の掲示板に書き込ませるスクリプトが埋め込まれた掲示板もこれだし、トリップ共有スクリプトもその一例である。
攻撃対象の掲示板の対策
- リファラをチェックする
- 掲示板を読み込む度にランダム文字列を発行してそれをhiddenで送らせ、発行した文字列でないと書き込めないようにする(ソロの掲示板やIDIOT.cgiでも採用)
- 画像認証を使う
- ID認証を使う
など、いくらでもある訳で、掲示板の代わりに設定変更やらショッピングにすればMOT悪いことも出来てしまいそうだがそういうのには最近はほぼ間違いなくこれらのような対策がされているので、多分無理である。
したらば掲示板
所がしたらば掲示板ではまともな対策がされていない。リファラチェックは「したらば外部からの書き込みを規制」するしかなく、「他の掲示板からの書き込みを規制」が出来ない。かける様大学トリップ共有スクリプトが助け合い掲示板でも話題になっていたのにろくに対策する気はないらしい。 トリップ共有スクリプトの他にも、話題になってないだけで平仮名荒らしとか一見まともな書き込みっぽいがよく見ると会話になってないとか、いくつか同様のスクリプトが存在していると思われる。 もっともいずれも②とかで騒ぎになったこともないので、相当な規模の爆撃にならない限りライブドアは動かないと思われる。