報告される事が多い脆弱性の中で最も多いのは、クロスサイトスクリプティング（XSS）と、もう一つ、クロスサイトリクエストフォージェリ（CSRF）だろう。

今回は、クロスサイトリクエストフォージェリを説明する。

クロスサイトリクエストフォージェリは、シンプルに言ってしまうと、「なりすまし」の攻撃だ。

すなわち、本来のユーザーが入力した情報に見せかけて、サーバーに任意の攻撃者のデータを送信する、というものである。

これはシンプルな攻撃であるが、極めて効果は高い。

例えば、掲示板に勝手な書き込みをすることが可能であるし、勝手に買い物をさせることもできる。任意のデータをなりすまして送ることができるのだから、やりたい放題だ。

しかも、攻撃の方法は極めてカンタンで、ユーザーに「攻撃用に用意したページ」を見せるだけで成立する。

攻撃用に用意したページは、ユーザーになりすまし、サーバーに適当なデータを送りつけることができる。しかも、ユーザーは攻撃用に用意したページかどうかは一見わからないので、知らないうちに自分の送った憶えのないデータをサーバーに送信されてしまう。

これを防ぐためには、ユーザーとサーバーの間で「合言葉」を決めておき、「アプリケーションが用意したページ」以外からのメッセージは受け取らないように設定しておく必要がある。

参考サイト：クロスサイトリクエストフォージェリ