おすすめ 格安 レンタルサーバー 比較 星の数ほどあるレンタルサーバーから自分のサーバーを見つけよう!

CSRF(クロスサイトリクエストフォージェリ)

CSRF(クロスサイトリクエストフォージェリ)

  • CSRFとは、攻撃者が他のユーザーからのHTTPリクエストを捏造して攻撃に利用する手法

CSRFとは、【Cross site request forgeries:クロス・サイト・リクエスト・フォージェリ】の略称で、Webサイトを攻撃する手法の1つです。攻撃者が他のユーザーからのHTTPリクエスト(WebブラウザからWebサーバへ要求するデータ送信)を捏造して攻撃に利用します。

捏造されたHTTPリクエストによって、Webサーバーへのリクエストが攻撃者からではなく他の犠牲者から送信されることとなり、犠牲者は意図しない処理を実行させられます。具体的な例として、掲示板に意図しない書き込みをさせられたり、オンラインショップで買い物をさせられたりなどの被害が起こります。

このような攻撃を防ぐには、Webサイトの管理者は、サイトの入力フォームにワンタイムトークン(一時的に生成するパスワードのようなもの)を含め、Webアプリケーションのフォームの使用を強制することです。例えば、掲示板であれば、投稿者が掲示板に書き込む際、掲示板自身の入力フォームから投稿させるように強制することです。このような強制力がない場合、攻撃者が用意した他のサイトやローカルのHTMLファイルのフォームから直接データを送信して書き込みなどが可能で、HTTPリクエストを捏造出来てしまします。Webアプリケーション自身のフォーム以外からの値を受け入れてはいけません。入力フォームにはGETの替わりにPOSTを使用することでも攻撃を軽減できるでしょう。

コメントを残す

サブコンテンツ

最近のコメント

    このページの先頭へ