クロスサイトリクエストフォージェリ(CSRF)とは何か。

報告される事が多い脆弱性の中で最も多いのは、クロスサイトスクリプティング(XSS)と、もう一つ、クロスサイトリクエストフォージェリ(CSRF)だろう。

今回は、クロスサイトリクエストフォージェリを説明する。

 

クロスサイトリクエストフォージェリは、シンプルに言ってしまうと、「なりすまし」の攻撃だ。

すなわち、本来のユーザーが入力した情報に見せかけて、サーバーに任意の攻撃者のデータを送信する、というものである。

 

これはシンプルな攻撃であるが、極めて効果は高い。

例えば、掲示板に勝手な書き込みをすることが可能であるし、勝手に買い物をさせることもできる。任意のデータをなりすまして送ることができるのだから、やりたい放題だ。

 

しかも、攻撃の方法は極めてカンタンで、ユーザーに「攻撃用に用意したページ」を見せるだけで成立する。

攻撃用に用意したページは、ユーザーになりすまし、サーバーに適当なデータを送りつけることができる。しかも、ユーザーは攻撃用に用意したページかどうかは一見わからないので、知らないうちに自分の送った憶えのないデータをサーバーに送信されてしまう。

 

これを防ぐためには、ユーザーとサーバーの間で「合言葉」を決めておき、「アプリケーションが用意したページ」以外からのメッセージは受け取らないように設定しておく必要がある。

 

参考サイト:クロスサイトリクエストフォージェリ

 

 

 

 

LINEで送る
Pocket

こんな記事も読まれています