３秒で分かるXSSとCSRFの違い

クロスサイト・スクリプティング(XSS)とはクロスサイト・スクリプティング(以下、XSS)とは、Web ページの出力処理に不備があるときに、悪意あるスクリプトを実行されてしまう脆弱性のことです。別サイトにある罠リンクをクリックすることで、サイトをまたがって(クロスサイト)スクリプトを実行するので、クロスサイト・スクリプティングと呼ばれます。XSS は理解が難しい脆弱性なのですが、スクリプトが実行されるのはサーバー上ではありません。スクリプトは、Web ページの表示時に利用者のブラウザ上で実行されます。クロスサイト・...

クロスサイト・リクエストフォージェリ(CSRF)とはWeb アプリケーションが以下の仕組みで動作している場合、ユーザーからのリクエストを本人のリクエストだと判別する仕組みを持っていないとクロスサイト・リクエストフォージェリ(以下、CSRF)の脆弱性になります。 Cookie でセッション管理を行なっている HTTP の基本認証、SSL クライアント証明書を利用しているCSRF の脆弱性による被害は以下のようになります。 ログイン後のユーザーが行える処理の不正実行 ログイン後のユーザーが行える情報の改ざん、新規登録CSRF は攻撃方法自体...