クロスサイトリクエストフォージェリとは？ わかりやすく解説

ウィキペディア

クロスサイトリクエストフォージェリ

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2023/08/05 20:59 UTC 版)

クロスサイトリクエストフォージェリ (cross-site request forgery) は、Webアプリケーションの脆弱性の一つ^[1]もしくはそれを利用した攻撃。略称はCSRF（シーサーフ (sea-surf) と読まれる事もある^[2][3]）、またはXSRF。リクエスト強要^[4]、セッションライディング (session riding^[3]) とも呼ばれる。1990年代はイメタグ攻撃とも呼ばれていた^[要出典]。脆弱性をツリー型に分類するCWEではCSRFをデータ認証の不十分な検証 (CWE-345) による脆弱性のひとつとして分類している (CWE-352)^[5]。

脚注

注釈

1. ^ ^{a b c} これらのHTTPリクエストやURLはOWASP（英語版）のサイト^[3]に脆弱性の例として記載されているものを引用した。
2. ^ 厳密に言うと、MARIAが適当に予想したtokenがたまたま本物のtokenと一致して攻撃が成功してしまう場合がある。これを防ぐためtokenとしてエントロピーが十分に大きいものを使う必要がある。
3. ^ ^{a b} これらもOWASP（英語版）のサイト^[3]に記載されている偽装工作の例を参考にして作成。

出典

1. ^ ^{a b c d e f g h i j k} CWE-352 2011.
2. ^ Shiflett, Chris (2004年12月13日). “Security Corner: Cross-Site Request Forgeries”. php|architect (via shiflett.org). 2008年7月3日閲覧。
3. ^ ^{a b c d} OWASP 2016.
4. ^ IPA 2014.
5. ^ ^{a b} 共通脆弱性タイプ一覧CWE概説。IPA。2016/9/15閲覧
6. ^ トレンドマイクロ セキュリティ情報 脅威と対策 「クロスサイトリクエストフォージェリ（CSRF）」
7. ^ 金床 2009.
8. ^ 徳丸 2011, p. 159,165-166.
9. ^ 「ぼくはまちちゃん」 ――知られざるCSRF攻撃 - ＠IT
10. ^ URL踏むと「こんにちは　こんにちは!!」　AmebaなうのCSRF脆弱性で“意図しない投稿”広がる ITmedia
11. ^ 神奈川県警幹部、誤認逮捕を謝罪…少年宅を訪問 2012年10月20日22時31分 読売新聞