XSRF(クロスサイトリクエストフォージェリ)について 用語解説&復習シリーズ

公開日:2019-05-16
最終更新:2019-05-16

XSRFとは

XSRFは、別名を「セッションライディング」とか「リクエスト強要」とか言われます。

攻撃の一例

銀行のサイトにAさんがログインしていたとします。AさんはBさんに5万円送金したいと考えています。
つまりサーバには『「Bさん」に「5万円」を「送る」』というリクエストを送ることになります。
しかしこの状態で下記のようになってしまったらどうでしょうか。

別の悪意のあるユーザZさんが『「Zさん」に「50万円」を「送る」』というリクエストを用意し、誤ってAさんがそのURLをクリックしたら・・・?

サーバ側はこの不正なリクエストを正規のリクエストとして認識してしまった場合、Zさんに50万円を送金してしまいます。

このように正規のリクエストとは異なるリクエストを実行してしまう脆弱性のことを、XSRFと呼びます。

対策方法

当然、正規のリクエストとして認識しなければ実行しないようになります。方法はいくつかありますが、ここでは代表的なものを一つ紹介します。

あらかじめ、攻撃者が知りえない値をブラウザのHiddenタグに埋めておきます。リクエスト時にその値をサーバ側で照合することで、正しいリクエストと判断できるのです。

記事が少しでもいいなと思ったらクラップを送ってみよう!
2
+1
のざくんの技術ブログのページだよ! ゆっくりしていってね!!!

よく一緒に読まれている記事

0件のコメント

ブログ開設 or ログイン してコメントを送ってみよう
目次をみる

技術ブログをはじめよう

Qrunch(クランチ)は、ITエンジニアリングに携わる全ての人のための技術ブログプラットフォームです。

技術ブログを開設する

Qrunchでアウトプットをはじめよう

Qrunch(クランチ)は、ITエンジニアリングに携わる全ての人のための技術ブログプラットフォームです。

Markdownで書ける

ログ機能でアウトプットを加速

デザインのカスタマイズが可能

技術ブログ開設

ここから先はアカウント(ブログ)開設が必要です

英数字4文字以上
.qrunch.io
英数字6文字以上
ログインする