CSRF(Cross site request forgeries)
「なりすまし投稿」の手口の一つを紹介します
第一段階
・攻撃者は罠のページを作成する
事前に目的のサイトの「投稿」ロジックを用意してクリックされるのを待つ
投稿文章の内容等を全て用意しておく
第二段階(図を参照)
1.利用者が投稿サイトにログインする
2.利用者が投稿を行う
3.利用者はログオフせずに繋いだままにしておく
第三段階(図を参照)
4.利用者が罠のサイトをアクセスする
5.知らずにクリックしてしまう
「第一段階」で用意された文章を投稿してしまう
注意点
例としてログインしてからの「投稿」サイトを上げたが
第二段階を省いたケースもありえます
ログインなどせずに「投稿」できるサイトでも「なりすまし投稿」ができます
「なりすまし投稿」と言われる所以
・実際の「投稿」は罠のページが存在するサーバ上では行わない
攻撃者の存在がばれる事を恐れるので、この方法は取らない
・多くの攻撃者はJavaScriptを使って「ローカルPC」上から投稿させる
JavaScriptが「ローカルPC」上で動くといった
プログラム言語の特徴を利用して上手に攻撃者の存在を隠してしまう
これが「なりすまし投稿」と言われる所以です
コメントを残す