[開発] CSRF/XSSはいずれも脆弱性の1つで、もしくはそれを利用した攻撃のことを言う

cross-site request forgeries
クロスサイトリクエストフォージェリ
CSRF (シーサーフ)
リクエスト強要

Webアプリケーションの脆弱性の一つもしくはそれを利用した攻撃

別のサイトに用意したコンテンツ上の罠のリンクを踏ませること等をきっかけとして、
インターネットショッピングの最終決済や退会等Webアプリケーションの重要な処理を呼び出すようユーザを誘導する攻撃である。

ブラウザが正規の Webコンテンツにアクセスした際には毎回、
セッションを維持するために所定の Cookie、Basic認証データあるいは Digest認証データがブラウザから Webサーバ宛に送出されるという性質を、この攻撃は悪用する。

----------------------------------------

cross site scripting
クロスサイトスクリプティング
XSS

他人のWebサイトへ、悪意のあるスクリプトを埋め込むこと
Webアプリケーションの脆弱性もしくはそれを利用した攻撃
Webサイトへの代表的な攻撃手法

----------------------------------------

相違

同じ>
― どちらも「クロスサイト」という言葉が先頭につく
― なりすましのようなことが結果としてできる
― どちらも受動型攻撃である

違う>
XSSはブラウザ上でスクリプトが動き、CSRFはサーバー上でスクリプトが動く


ref.
リクエスト強要(CSRF)対策
https://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/301.html
クロスサイトスクリプティング(XSS)とCSRFの違い早分かり
http://d.hatena.ne.jp/ockeghem/20071203/p1

tag : XSS CSRF

2017-04-22 00:36 : 開発 : コメント : 0 : トラックバック : 0 :
コメントの投稿
非公開コメント

« next  ホーム  prev »

search

ad



counter


tag cloud

category cloud