無料で使えるシステムトレードフレームワーク「Jiji」 をリリースしました!

・OANDA Trade APIを利用した、オープンソースのシステムトレードフレームワークです。
・自分だけの取引アルゴリズムで、誰でも、いますぐ、かんたんに、自動取引を開始できます。

攻撃手法-CSRF(クロスサイトリクエストフォージェリ)

Cookie等に保存された正しい認証情報を使って、正規ユーザーに任意のコマンドを実行させる。

流れ

  1. 正規ユーザーが認証→認証情報がクッキーに保存される。
  2. 攻撃者がコマンドを実行するURLを正規ユーザーに送る。
  3. 正規ユーザーがURLをクリック。→クッキーの認証情報でコマンドが実行される。

対策

  • 重要なコマンドのパラメータ(HiddenフィールドなどCookieとは別の手段で)として、正しい認証者しか知りえない情報を受け取り、チェックする。(SessionIDなど。)