クロスサイトリクエストフォージェリ
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2023/08/05 20:59 UTC 版)
なおCSRFの正式名称はクロスサイトスクリプティング (XSS) と似ているが、XSSは不適切な入力確認 (CWE-20) によるインジェクション (CWE-74) のひとつとして分類されており[5]、全く異なる種類の攻撃である。
CSRF脆弱性とは以下のような攻撃(CSRF攻撃)を可能にする脆弱性を指す[1]:攻撃者はブラウザなどのユーザ・クライアントを騙し、意図しないリクエスト(たとえばHTTPリクエスト)をWebサーバに送信させる。Webアプリケーションがユーザ・クライアントからのリクエストを十分検証しないで受け取るよう設計されている場合、このリクエストを正規のものとして扱ってしまい、被害が発生する。CSRF攻撃はURL[1]、画像の読み込み[1]、XMLHttpRequest[1]などを利用して実行される。
具体的被害としてはデータの漏えい[1]、意図しないコードの実行[1]、権限の取得[1]、なりすまし[1]、防御メカニズムの回避[1]、アプリケーションデータの読み取り[1]などがありうる。権限の取得が可能な場合、その被害はユーザの持つ権限に依存する。ログインしていない状態でも起こりうる主な被害としてユーザ・クライアントに電子掲示板などへ書き込みをさせる行為があり[6]、これを利用してユーザを装った犯罪予告(例:パソコン遠隔操作事件)や大量の書き込みをさせるDoS攻撃(例:「ぼくはまちちゃん」 騒動)といった事件が発生した。
注釈
出典
- ^ a b c d e f g h i j k CWE-352 2011.
- ^ Shiflett, Chris (2004年12月13日). “Security Corner: Cross-Site Request Forgeries”. php|architect (via shiflett.org). 2008年7月3日閲覧。
- ^ a b c d OWASP 2016.
- ^ IPA 2014.
- ^ a b 共通脆弱性タイプ一覧CWE概説。IPA。2016/9/15閲覧
- ^ トレンドマイクロ セキュリティ情報 脅威と対策 「クロスサイトリクエストフォージェリ(CSRF)」
- ^ 金床 2009.
- ^ 徳丸 2011, p. 159,165-166.
- ^ 「ぼくはまちちゃん」 ――知られざるCSRF攻撃 - @IT
- ^ URL踏むと「こんにちは こんにちは!!」 AmebaなうのCSRF脆弱性で“意図しない投稿”広がる ITmedia
- ^ 神奈川県警幹部、誤認逮捕を謝罪…少年宅を訪問 2012年10月20日22時31分 読売新聞
- 1 クロスサイトリクエストフォージェリとは
- 2 クロスサイトリクエストフォージェリの概要
- 3 詳細
- 4 対策
- 5 事案
- 6 脚注
- クロスサイトリクエストフォージェリのページへのリンク