疑問
ブログが勝手に投稿された!?
twitterで勝手に犯行予告を投稿してる!?
そんな方への記事です。
結論
クロスサイトリクエストフォージェリはインジェクション系のハッキング手法です。
ブログなどにスクリプト(悪意のあるコード)が仕込まれることで、SNSで勝手に投稿されるなど意図しない動作が発生します。
犯行予告を関係のない第三者に行わせてしまいます。
ハッキングの手法を知ることで身を守れるようになります。
「3分ハッキング」という書籍を参考にしながら一緒に学んでいきましょう。
あらすじ
「3分ハッキング」では新入社員の「しょーじ君」がハッキング技術を一から学んでいくストーリーです。
ハッキングツールを入手したり、会社がハッキングされたり、最後には自分が、、、などいろいろな展開があります。
実際に手を動かしながら学べるようにもできています。
わたしも同じ流れで学んでいこうと思います。
本自体は2時間ほどで読みあわるボリュームでした。
ストーリー形式だったので楽しく読めましたよ♪
「しょーじくん」含め、登場人物みんなのIT知識はとても高かったですが(笑
クロスサイトリクエストフォージェリ
準備
VirtualBoxを起動します。
Metasploitable2を起動します。

ユーザー名とパスワードはmsfadminです。
※Metasploitable2のインストール方法
https://tumaboki.com/sec-2/1501/
ifconfigを入力して、inet addr:と書かれた場所からIPアドレスを確認します。
KaliLinuxを起動します。
ユーザー名とパスワードはkaliです。
※kaliLinuxとVirtualBoxのインストール方法
https://tumaboki.com/linux/1460/
テスト用サイト
テスト用のサイトに接続していきましょう。
kaliLinuxでブラウザを開きアドレスを入力しましょう。
“http://192.168.1.18/mutillidae/
※192.168.1.18はifconfigで探したIPアドレスを入力してください。
metasploit2が用意している脆弱性があるWebページです。

テスト用のスクリプト
テスト用のスクリプトが書かれたページを開きます。
“http://192.168.1.18/mutillidae/documentation/Mutillidae-Test-Scripts.txt
ブラウザの検索機能でCSRFを探しましょう。
CSRFとは、Cross Site Request Forgeryの頭文字です。
Cross Site Request Forgeryという項目が見つかりました。

試してみよう♪
今回は、勝手にブログを追加させるスクリプトを試してみましょう。
ブラウザでhttp://192.168.1.18/mutillidae/index.php?page=addtoyourblog.phpを開きます。
下記のコードを投稿する蘭に入力します。


結果
画面下部の投稿記事一覧にDancing with the stars resultsが追加されていればOKです。
マウスポインタをDancing with the stars resultsに合わせると、、、
ページが再読み込みされて、勝手に新しい投稿がされています。
Add this guy to the Wall of Sheepという内容で追加されました。

考えられる危険性
なりすまし投稿や犯罪予告の濡れ衣を着せられるおそれがあります。
文章内容や動作を変えると第三者を悪人にしてしまいます。
まとめ
ブログに悪意のあるスクリプトが埋め込まれると、無実の第三者が被害を受けます。
セキュリティ意識を高めるとともに、アップデートはすぐ行い最新の状態に保ちましょう!
一緒に一歩踏み出しましょう♪
では♪
3分ハッキング サイバー攻撃から身を守る知識
コメント