CSRF クロスサイト・リクエスト・フォージェリー
【英】 Cross Site Request Forgeries
WebサイトにスクリプトやHTTPリダイレクトを仕込むことで、閲覧者が意図していない行動を別のWebページ上で実行させる攻撃方法。Cross Site Request Forgeriesの略。攻撃者が正規ユーザーのセッション情報などを悪用して、望まない処理をさせる攻撃手法のこと。
クロスサイトスクリプティング、SQLインジェクションと並んで、Webアプリケーションの多くが有するセキュリティ脆弱性の一つ。
関連用語
CSRF
読み方:シーエスアールエフ
別名:クロスサイトリクエストフォージェリ
CSRFとは、Webサイトの攻撃手法の一種で、悪意のあるスクリプトやURLにアクセスさせることで、意図しないWebサイト上の操作を行わせる手法である。
他のWebサイト攻撃手法であるXSS(Cross Site Scripting)などとは異なり、正規ユーザが本来想定されている操作を行ったかのようにリクエストを発生させることができる(リクエストの偽造:Request Forgery)。CSRFによる代表的な被害としては、掲示板への意図しない書き込みや、ショッピングサイトで買うつもりの無い商品を買ってしまうといったものがある。
CSRFを防ぐための対策としては、リクエストが正しい画面遷移を経て送信されているかをチェックしたり、リクエストを受け付ける前に確認画面をはさむといった方法がある。前者の方法では、画面を識別するために外部からは予測不可能な使い捨てIDを発行し画面遷移をチェックしたり、簡易にはリファラ情報を照合するなどの手法が用いられる。後者の方法では、確認画面で再度パスワードを入力させたり、CAPTCHAと呼ばれる画像として表示した文字をユーザに判読させ入力させるなどの手法が用いられる。
参照リンク
「ぼくはまちちゃん」――知られざるCSRF攻撃 - @IT Security&Trust ウォッチ(33)
開発者のための正しいCSRF対策
ネットワーク攻撃: | Apache Killer 悪魔の双子 エクスプロイトキット CSRF C&Cサーバー DDoS DoS攻撃 |
クロスサイトリクエストフォージェリ
(CSRF から転送)
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2023/08/05 20:59 UTC 版)
クロスサイトリクエストフォージェリ (cross-site request forgery) は、Webアプリケーションの脆弱性の一つ[1]もしくはそれを利用した攻撃。略称はCSRF(シーサーフ (sea-surf) と読まれる事もある[2][3])、またはXSRF。リクエスト強要[4]、セッションライディング (session riding[3]) とも呼ばれる。1990年代はイメタグ攻撃とも呼ばれていた[要出典]。脆弱性をツリー型に分類するCWEではCSRFをデータ認証の不十分な検証 (CWE-345) による脆弱性のひとつとして分類している (CWE-352)[5]。
注釈
出典
- ^ a b c d e f g h i j k CWE-352 2011.
- ^ Shiflett, Chris (2004年12月13日). “Security Corner: Cross-Site Request Forgeries”. php|architect (via shiflett.org). 2008年7月3日閲覧。
- ^ a b c d OWASP 2016.
- ^ IPA 2014.
- ^ a b 共通脆弱性タイプ一覧CWE概説。IPA。2016/9/15閲覧
- ^ トレンドマイクロ セキュリティ情報 脅威と対策 「クロスサイトリクエストフォージェリ(CSRF)」
- ^ 金床 2009.
- ^ 徳丸 2011, p. 159,165-166.
- ^ 「ぼくはまちちゃん」 ――知られざるCSRF攻撃 - @IT
- ^ URL踏むと「こんにちは こんにちは!!」 AmebaなうのCSRF脆弱性で“意図しない投稿”広がる ITmedia
- ^ 神奈川県警幹部、誤認逮捕を謝罪…少年宅を訪問 2012年10月20日22時31分 読売新聞
- 1 クロスサイトリクエストフォージェリとは
- 2 クロスサイトリクエストフォージェリの概要
- 3 詳細
- 4 対策
- 5 事案
- 6 脚注
- CSRFのページへのリンク