回答編集履歴
1
CSFR→CSRFに訂正
test
CHANGED
|
@@ -18,13 +18,13 @@
|
|
|
18
18
|
|
|
19
19
|
全体的に見てそもそも、通信プロトコルや攻撃に対する基礎的な知識が足りてない気もしますが、将来的に必要と感じるのであれば勉強してみても良いかもしれません。
|
|
20
20
|
|
|
21
|
-
CSF
|
|
21
|
+
CSRF攻撃は
|
|
22
22
|
一般のユーザーに対して、意図していないリクエスト情報を含むリンクを踏ませるなどをして、ログインユーザーの認証をすり抜け、意図したリクエストかのように偽装する行為です。
|
|
23
23
|
|
|
24
24
|
例えばteratailの投稿ボタンはHttpヘッダーを使いサーバーにこういう書き込みをしています!と送ります。
|
|
25
25
|
この時、あなたが私が送ったように偽装出来ないのはあなたが私のアカウントにログインできないからです。
|
|
26
26
|
ただ、私がログインしており、
|
|
27
|
-
あなたが作成したサイトで「サーバーにこういう書き込みをしています!」という情報をteratailに送るとしたら、CSF
|
|
27
|
+
あなたが作成したサイトで「サーバーにこういう書き込みをしています!」という情報をteratailに送るとしたら、CSRF対策をしていなければ、
|
|
28
28
|
ログインもしているし、書き込みをしようともしているということで正常に処理してしまうという攻撃です。
|
|
29
29
|
例えばHTMLのフォーム要素を他のサイトからコピペして、入力内容を書き換え、クライアントに送信ボタンを押させることでクッキー(セッション)やグローバルIPは正しい端末なんだけれども、ユーザーが意図した通信では無いのに実際に処理されてしまうという事態が発生するわけです。
|
|
30
30
|
|