クロスサイトリクエストフォージェリ(CSRF)
CSRF(cross-site request forgery、クロスサイトリクエストフォージェリ、シーサーフ)
Webアプリケーションへのリクエストを偽造(forgery)され、ユーザーの意図しない処理が実行されてしまう脆弱性
cross-siteは正規のサイトと罠サイトをまたぐこと
forgeryは偽造
攻撃のなかで「正規のWebアプリケーションA」と「罠サイト」の2つのサイトをまたいで(クロス・サイト)、リクエストを偽造する(リクエスト・フォージェリ)点が、CSRF攻撃の特徴です。
いつ起こるか
ユーザーが正規のサイトでログイン
→ユーザーが罠サイト(攻撃者サイト)を閲覧する
罠サイトが不正なリクエストを云々
対策
ユーザー側
セッションの時間を短くする
信頼できるフレームワークやライブラリを使用する
CSRFトークン
リクエストヘッダの確認
Refererチェック
最近はバイパスする仕組みが出てきた?
確認用
Q. CSRF
Q. CSRFを受けると何が起こるか
Q. CSRFの対策は
参考
フレームワークのチェック例
関連
調査用
/pogi-log/Wikipedia.icon
/pogi-log/Wikipedia.icon
メモ