![](http://oshiete.xgoo.jp/images/v2/pc/qa/question_title.png?e8efa67)
最近CSRF攻撃についていろいろ勉強しています。
例として、mixiでの「ぼくはまちちゃん事件」というのが出てきましたが
いまいちこの手法の仕組みが理解できません。
誰かの日記に一度、踏みやすそうなリンクを張っておいて、リンク先のページに
埋め込まれたタイトル情報と日記の中身の情報を含んだフォームを勝手にサブミットしてしまう。
という事かな。と思ったのですが、mixiの場合って「以下の内容で書き込んでもよろしいですか?」みたいなページとかが表示されるかと思います。
そういったページというのはどうなっていたのでしょうか。
というか、攻撃者が用意したダミーのリンク内ではどのようなページが表示されていたのでしょうか。
ご存知の方がいらっしゃいましたらご教授していただけないでしょうか。
No.1ベストアンサー
- 回答日時:
こんにちは!
「フォームを勝手にサブミットしてしまう」
その認識でだいたいあってます!たぶん!
そのmixiの例だと、
入力画面 → (送信1) → 確認画面 → (送信2) → 完了
ってなるわけですが、
いくら確認画面が間にあったところで、
(送信2)の部分を「勝手にサブミット」しちゃえばいいわけです。
※ただし今のmixiや、ちゃんとしたwebサービスは送信時にトークンをつけるとかCSRF対策してるのでできません
実際の攻撃の例としては、mixiやtwitterなどの多くの人が繋がっている投稿型サイトで、
「こんにちはこんにちは!! このリンク先すごいよ! http://~」
のような書き込みをしておき、
そのリンク先でformやJavaScript等で「自動的に勝手にサブミット」してしまいます。
画面には何も表示されなくてもかまいません。
そしてさらに勝手に書き込む内容を
「こんにちはこんにちは!! このリンク先すごいよ! http://~」
のようにしてしまうことで、まるでワーム型ウイルスのように、
友達の繋がりを通じて連鎖的に広がります。
他には、GETリクエストで何らかの処理をされてしまうwebアプリに対して
imgタグやiframeなどで、誰かに「勝手にリクエストを送信させてしまう」
なんてのもCSRFの事例のひとつです。
こわいですね。
このあたりのことを漫画で解説しているサイトもあるので、
いちどご覧になってみてはいかがでしょうか!
http://gihyo.jp/dev/serial/01/hamachiya2/0001
絵がとってもかわいいですよ!
あ、あと動画もありました。
まさか・・・ぼくはまちちゃん事件の仕掛け人ご本人の方ですか!?ww
とてもわかりやすい回答有難うございました。
絵、動画共に見やすくて理解が深まりました!
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- CGI (フリーの)ツリー掲示版CGI、昔は多用させてもらいましたが・・今セキュリティ上どうでしょう? 2 2023/06/25 07:18
- Visual Basic(VBA) ActiveReportのサブレポート機能を利用したときに1ページ目の1サブレポート目が表示されない 1 2023/08/19 06:10
- JavaScript Javascriptを使ってQRコード読み取り、取得した情報をPOSTしたいと思っています。 1 2023/04/28 15:18
- WordPress(ワードプレス) ワードプレスで、投稿一覧ページにタグを表示する方法 投稿につけたタグを、記事一覧ページにもカテゴリと 1 2023/05/10 21:41
- Word(ワード) Word2013 縦書き上下二段の表、改行を続けると次ページに情報が表示されるようにしたい 3 2022/06/16 09:24
- PHP PHPで入力フォームでデータを確認表示画面まで送る流れを日本語で理解したいのです。 1 2023/05/29 19:12
- PHP php 入力画面から確認表示画面へ情報の受け渡しについて。 1 2023/06/07 18:00
- 英語 会社で英語を使うことになっての英語の勉強方法 5 2022/07/03 11:49
- PHP php my adminより取り出したデータ表示 2 2022/06/15 11:56
- その他(メールソフト・メールサービス) グーグル検索の順位 3 2022/11/03 01:15
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
古いWindows 7 PCをNASにしても...
-
windows11 サービスにSecurity ...
-
Windows System32 Security Hea...
-
IPアドレスによる住所特定につ...
-
Microsoft Formsのセキュリティ...
-
不正ログインされました。対応...
-
「フォーム再送信の確認」中の...
-
ハッカーってどうやってなるん...
-
グローバルID(GUID?)をたださら...
-
PCのウイルス対策ソフト(McAfe...
-
変なサイトを見たら右下に警告...
-
UPnPは無効にしたほうがいいの...
-
Windowsでimebroker hidden win...
-
ログインの継続?
-
SELECT * FROM 生徒名簿 WHERE ...
-
書き込みしようとすると「不正...
-
家のセキュリティのため、何を...
-
中古DVDを読み込んだだけでマル...
-
前にファイル共有ソフトで暗証...
-
iPhoneを使いTor経由でIPとブラ...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
丸亀製麺のうどんの出汁(だし)...
-
mixiの過去日記が閲覧できない!
-
彼のwhooがこのような画面に急...
-
pixivのマイピク申請を受け入れ...
-
今現在mixiグループが運営して...
-
mixiでメッセージをやり取りし...
-
「萌えカラオフ」を出禁になっ...
-
mixi辞めようか迷ってます。 嫌...
-
Quick Time ムービーから音声の...
-
mixiでのトラブルについて
-
【mixiやってる人に質問】mixi...
-
ミクシィで、自分の日記をタイ...
-
mixiの事について、教えて下さ...
-
mixi の日記で、外部へのリン...
-
mixiで晒されました
-
久々ログイン→mixiの日記やコメ...
-
mixiって、今出会い系目的で使...
-
mixiの複数アカウントの判別は...
-
mixiの招待メールが送れない
-
友達作りに有効なSNSは?
おすすめ情報