今回質問に答えてほしいのは、今自分は学校の研究課題でCSRF(クロスサイトリクエストフォージェリ)について少し勉強を行っていてそのことについてです。
CSRFはあるユーザAが何かしらのWEBアプリケーションにログインした状態で、攻撃者が作った罠サイトを開くとその罠サイトにある偽装のリクエストがWEBアプリケーションのサーバに送られてしまい、意図しない処理が行われる攻撃だと習いました(少しざっくりしすぎかもしれませんがそこは勘弁してください)
そこで実験に必要なものとして、
①ある自作WEBアプリケーション(ほぼ完成段階)
②上記のWEBサーバ
③自作の罠サイト(制作中)
④罠サイト用のWEBサーバであっていますか?(おそらく目で見えるものとしてはあっているはず)
あとは罠に引っかかる仮ユーザAのcookie・セッションID?情報とか…
前提条件はユーザAはすでにログインされていること、誘導されているという2点です。
他にこれは必要だろう、やっておかないとだめだろうと思うのがあれば何でも言ってください!
あと罠サイトは別にドメインを取得するまではいかなくてもよいのですか? Webサーバを立ててちゃんと公開させれば実験はうまくいくと思いますか?
よろしくお願いします。もし何か不明点があれば返信をお願いいたします。
最後に、これは上記でも説明したとおり学校の研究課題で今行っていることです。
変に勘違いされても困るので2回言いました。
これを実際の現場で実行するとか犯罪に使おうとか微塵も思っていません。
ちゃんと読んだうえで回答のほうをよろしくお願いいたします。
回答3件
あなたの回答
tips
プレビュー