クロスサイトリクエストフォージェリ(CSRF)
「フォージェリ」(forgery)とは「偽装」の意味。
サイトをまたがってリクエストを偽装する攻撃。
外部のサイトから、対象のサイトにリクエストを送信し、掲示板や日記の書き込み、意図しない登録、購入などをさせる。
攻撃者はセッションIDなどを知らなくても、ログイン状態のユーザーにリクエストを送信させることができればよい。セッションの乗っ取りとは違う。
Webサイト側は、次のような対策をする。
- ワンタイムトークンを発行して不正な画面遷移を防ぐ
- パスワードなどの入力を求める
特に登録系などの重要な画面には対策をしたい。
セッションIDをアクセスのたびに変更し、古いセッションIDは即座に捨てていくぐらいにしたいが、そうするとリロードやリンクの連打などが不正な画面遷移となるので、そこまでやる場合もあるし、やらない場合もある。
コメント