R3春 午後1 問1 設問2(3)CSRFの問題
広告
質問者さん
(No.1)
R3春 午後1 問1 設問2(3)CSRF(クロスサイトリクエストフォージェリ)の問題についてです。
私の認識ですが、CSRFは主に、攻撃者がサービス利用者のログイン情報を詐取し、例えば本人になりすましてSNSをいじったり、ショッピングで買い物をしたり、というように、『攻撃者が利用者のアカウント(ログイン情報)を乗っ取って悪用する行為』と考えていました。
しかし本問では、攻撃者がCSRFにより、自分のアカウントを使って、画像のアップロード、ダウンロードを行う、というのが正解になっています。
これは、この問題のシーケンス図からそれを読み取れ、という趣旨の問題なのでしょうか?というか、そもそも私のCSRFの認識は合っているでしょうか??
私の認識ですが、CSRFは主に、攻撃者がサービス利用者のログイン情報を詐取し、例えば本人になりすましてSNSをいじったり、ショッピングで買い物をしたり、というように、『攻撃者が利用者のアカウント(ログイン情報)を乗っ取って悪用する行為』と考えていました。
しかし本問では、攻撃者がCSRFにより、自分のアカウントを使って、画像のアップロード、ダウンロードを行う、というのが正解になっています。
これは、この問題のシーケンス図からそれを読み取れ、という趣旨の問題なのでしょうか?というか、そもそも私のCSRFの認識は合っているでしょうか??
2023.02.01 17:18
pixさん
★SC ダイヤモンドマイスター
(No.2)
Web攻撃の種類を区別することは重要です。特にCSRFとXSSは紛らわしいので注意です。
ログイン情報の窃取はWeb攻撃とは別の手法で、盗聴やパスワード攻撃の結果として
入手されるものです。
・CSRF
認証・認可済のユーザに不正なスクリプトを実行させ、意図しないWebアプリの操作を
引き起こさせる。(不正なフォーム投稿など)
ユーザのアカウント/パスワード情報は不要。
サーバ側で実行される。
・XSS
攻撃者が用意した不正なスクリプトを実行させる攻撃。
スクリプトで処理できるすべての攻撃が可能。(Cookie、セッションID窃取など)
ユーザのアカウント/パスワード情報は不要。
認証・認可も不要。
クライアント側(Webブラウザ)で実行される。
シーケンス図には処理の流れの中でセッションが同一であることを確認する手順が
存在しています。正規のセッションであるか否かの確認はCSRF対策の特徴です。
このあたりが不明ならば、
「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」に詳しく説明が
載っております。
ログイン情報の窃取はWeb攻撃とは別の手法で、盗聴やパスワード攻撃の結果として
入手されるものです。
・CSRF
認証・認可済のユーザに不正なスクリプトを実行させ、意図しないWebアプリの操作を
引き起こさせる。(不正なフォーム投稿など)
ユーザのアカウント/パスワード情報は不要。
サーバ側で実行される。
・XSS
攻撃者が用意した不正なスクリプトを実行させる攻撃。
スクリプトで処理できるすべての攻撃が可能。(Cookie、セッションID窃取など)
ユーザのアカウント/パスワード情報は不要。
認証・認可も不要。
クライアント側(Webブラウザ)で実行される。
シーケンス図には処理の流れの中でセッションが同一であることを確認する手順が
存在しています。正規のセッションであるか否かの確認はCSRF対策の特徴です。
このあたりが不明ならば、
「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」に詳しく説明が
載っております。
2023.02.01 18:00
質問者さん
(No.3)
ありがとうございます、CSRFとXSSの違いなど基本的なことから確認しようと思います。
2023.02.02 21:02
広告
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
広告