CSRF
フルスペル:Cross Site Request Forgery
読み方:シーエスアールエフ
別名:クロスサイトリクエストフォージェリ
CSRFとは、Webサイトの攻撃手法の一種で、悪意のあるスクリプトやURLにアクセスさせることで、意図しないWebサイト上の操作を行わせる手法である。
他のWebサイト攻撃手法であるXSS(Cross Site Scripting)などとは異なり、正規ユーザが本来想定されている操作を行ったかのようにリクエストを発生させることができる(リクエストの偽造:Request Forgery)。CSRFによる代表的な被害としては、掲示板への意図しない書き込みや、ショッピングサイトで買うつもりの無い商品を買ってしまうといったものがある。
CSRFを防ぐための対策としては、リクエストが正しい画面遷移を経て送信されているかをチェックしたり、リクエストを受け付ける前に確認画面をはさむといった方法がある。前者の方法では、画面を識別するために外部からは予測不可能な使い捨てIDを発行し画面遷移をチェックしたり、簡易にはリファラ情報を照合するなどの手法が用いられる。後者の方法では、確認画面で再度パスワードを入力させたり、CAPTCHAと呼ばれる画像として表示した文字をユーザに判読させ入力させるなどの手法が用いられる。
参照リンク
「ぼくはまちちゃん」――知られざるCSRF攻撃 - @IT Security&Trust ウォッチ(33)
開発者のための正しいCSRF対策
|