BETA

XSRF(クロスサイトリクエストフォージェリ)について 用語解説&復習シリーズ

投稿日:2019-05-16
最終更新:2019-05-16

XSRFとは

XSRFは、別名を「セッションライディング」とか「リクエスト強要」とか言われます。

攻撃の一例

銀行のサイトにAさんがログインしていたとします。AさんはBさんに5万円送金したいと考えています。
つまりサーバには『「Bさん」に「5万円」を「送る」』というリクエストを送ることになります。
しかしこの状態で下記のようになってしまったらどうでしょうか。

別の悪意のあるユーザZさんが『「Zさん」に「50万円」を「送る」』というリクエストを用意し、誤ってAさんがそのURLをクリックしたら・・・?

サーバ側はこの不正なリクエストを正規のリクエストとして認識してしまった場合、Zさんに50万円を送金してしまいます。

このように正規のリクエストとは異なるリクエストを実行してしまう脆弱性のことを、XSRFと呼びます。

対策方法

当然、正規のリクエストとして認識しなければ実行しないようになります。方法はいくつかありますが、ここでは代表的なものを一つ紹介します。

あらかじめ、攻撃者が知りえない値をブラウザのHiddenタグに埋めておきます。リクエスト時にその値をサーバ側で照合することで、正しいリクエストと判断できるのです。

技術ブログをはじめよう Qrunch(クランチ)は、プログラマの技術アプトプットに特化したブログサービスです
駆け出しエンジニアからエキスパートまで全ての方々のアウトプットを歓迎しております!
or 外部アカウントで 登録 / ログイン する
クランチについてもっと詳しく

この記事が掲載されているブログ

のざくんの技術ブログのページだよ! ゆっくりしていってね!!!

よく一緒に読まれる記事

0件のコメント

ブログ開設 or ログイン してコメントを送ってみよう