X

Gmailに脆弱性

(Last Updated On: )

GnuCitizenとばしてますね。先日はPDFによるコード実行脆弱性を公開(ただし、詳細不明)していました。その前はQuickTimeでした。今度はGmailの脆弱性だそうです。

The technique used in this example is known as Cross-site request forgery, or simply put CSRF.

CSRF脆弱性だったそうです。リンク先のページではフィルタ設定を改竄するスクリーンショットが掲載されていました。

対策は簡単、予測不可能なリクエストIDを全てのデータ変更リクエストにつけるだけです。手っ取り早いのはセッションIDを流用する方法ですが、セッションID漏洩のリスクが増加するのであまりお勧めできません。次に簡単なのはセッション変数としてIDを保存する方法です。この方法を採用したのかな?POSTメソッドなので単純にセッションIDを利用したのかな?

追記:
中身は同じなのかも知れませんが、XSS(?)でも似たような攻撃ができたようです。
http://blog.beford.org/?p=3

Categories: Security
yohgaki:
Related Post
Leave a Comment