『安全なWebアプリケーションの作り方』読書メモ 3章2節(受動的攻撃と同一生成元ポリシー)#wasbook

☆能動的攻撃と受動的攻撃
・能動的攻撃(active attack):Webサーバーに対して直接攻撃
・受動的攻撃(passive attack):Webサイトの利用者に罠を仕掛けることにより、罠を閲覧したユーザを通してアプリケーションを攻撃

☆受動的攻撃の種類
(1) 単純な受動的攻撃:罠サイトを閲覧させる
(2) 正規サイトを悪用する受動的攻撃:正規サイトに罠を仕掛ける
(3) サイトをまたがった受動的攻撃:罠サイトを閲覧したユーザに正規サイトへの攻撃リクエストを送信させる

☆受動的攻撃に対するブラウザ側の対策:JavaScriptによるサイトをまたがったアクセスを禁止(同一生成元ポリシー same origin policy)

☆同一生成元である条件
・URLのホスト(FQDN:Fully Qualified Domain Name)が一致している
・スキーム(プロトコル)が一致している
・ポート番号が一致している

コメントを残す