- 2014年7月31日
- セキュリティについて
クロスサイトリクエストフォージェリ(CSRF)とは何か。
報告される事が多い脆弱性の中で最も多いのは、クロスサイトスクリプティング(XSS)と、もう一つ、クロスサイトリクエストフォージェリ(CSRF)だろう。
今回は、クロスサイトリクエストフォージェリを説明する。
クロスサイトリクエストフォージェリは、シンプルに言ってしまうと、「なりすまし」の攻撃だ。
すなわち、本来のユーザーが入力した情報に見せかけて、サーバーに任意の攻撃者のデータを送信する、というものである。
これはシンプルな攻撃であるが、極めて効果は高い。
例えば、掲示板に勝手な書き込みをすることが可能であるし、勝手に買い物をさせることもできる。任意のデータをなりすまして送ることができるのだから、やりたい放題だ。
しかも、攻撃の方法は極めてカンタンで、ユーザーに「攻撃用に用意したページ」を見せるだけで成立する。
攻撃用に用意したページは、ユーザーになりすまし、サーバーに適当なデータを送りつけることができる。しかも、ユーザーは攻撃用に用意したページかどうかは一見わからないので、知らないうちに自分の送った憶えのないデータをサーバーに送信されてしまう。
これを防ぐためには、ユーザーとサーバーの間で「合言葉」を決めておき、「アプリケーションが用意したページ」以外からのメッセージは受け取らないように設定しておく必要がある。
参考サイト:クロスサイトリクエストフォージェリ