SOFTELメモ Developer's blog

会社概要 ブログ 調査依頼 採用情報 ...
技術者募集中

クロスサイトリクエストフォージェリ(CSRF)

「フォージェリ」(forgery)とは「偽装」の意味。

サイトをまたがってリクエストを偽装する攻撃。

外部のサイトから、対象のサイトにリクエストを送信し、掲示板や日記の書き込み、意図しない登録、購入などをさせる。

攻撃者はセッションIDなどを知らなくても、ログイン状態のユーザーにリクエストを送信させることができればよい。セッションの乗っ取りとは違う。

Webサイト側は、次のような対策をする。

特に登録系などの重要な画面には対策をしたい。

セッションIDをアクセスのたびに変更し、古いセッションIDは即座に捨てていくぐらいにしたいが、そうするとリロードやリンクの連打などが不正な画面遷移となるので、そこまでやる場合もあるし、やらない場合もある。

関連するメモ

コメント