skillup

技術ブログ

サーバー・ネットワーク

CSRF(クロスサイト・リクエスト・フォージェリ)

投稿日:2017年2月6日 更新日:

CSRF(クロスサイト・リクエスト・フォージェリ)とは?

ウェブサイトの中にはログイン機能を設けているものが多々ありますが、ログインした利用者からのリクエストについて、利用者が意図したリクエスト化を識別する仕組みを持たない場合、悪意のあるリクエストを受け入れてしまう可能性があります。この場合、悪意ある人が用意した罠により、利用者が予期しない処理を実行させられてしまう可能性があります。

このような問題をCSRF(クロスサイト・リクエスト・フォージェリ)の脆弱性といい、これを悪用した攻撃をCSRF攻撃といいます。

具体例もあるのでWIKIがわかりやすい。

https://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AD%E3%82%B9%E3%82%B5%E3%82%A4%E3%83%88%E3%83%AA%E3%82%AF%E3%82%A8%E3%82%B9%E3%83%88%E3%83%95%E3%82%A9%E3%83%BC%E3%82%B8%E3%82%A7%E3%83%AA

要は別ページ(意図しないページ)からPOSTしてしまう仕組みです。

被害

  • ログイン後の利用者のみが利用可能なサービスの悪用(不正な送金、意図しない商品購入や大会処理など)
  • ログイン後の利用者のみ編集可能な情報の改ざん、新規登録(設定の不正な変更)
  • 主にCookieを用いたセッション管理、特に金銭処理が発生するサイトなどでは非常に重要

対策

  • トークンを発行し、処理を受け取る画面でその確認をする。(最も確実性が高い。工数も中程度。)
  • Referが正しいリンク元かを確認し、正しい場合のみ処理を実行する(Refererをオフにしていると正常な画面遷移もできない。)
  • 逆になんらかの情報を確定や変更しないページでは不要。

参考(トークンチェック)

トランザクショントークン

https://github.com/umanari145/secure

-サーバー・ネットワーク
-

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

AWSのCLIに関して

実務でAWSを使ってたんですがテスト時にはコマンドを使っている方がはるかに早いためコマンドライン環境を作っておいたほうが良いです。 ちなみに使用する前にはAWSのコンソールからIAMユーザーを作成する …

no image

sslの設定に関して

実務でサーバーにSSLの設定をすることがあったので書いておきます。 Contents1 SSLとは?2 設定方法全般に関して2.1 秘密鍵2.2 サーバー証明書と中間証明書の合体 SSLとは? 通常の …

no image

クリックジャッキング

Contents1 クリックジャッキングとは?2 被害3 対策 クリックジャッキングとは? 悪意のあるサイトの特定上の場所をクリックさせ、誤操作をさせ、意図しない機能を実行させられる可能性があります。 …

no image

負荷調査のセオリー

以前にも下記リンクで負荷調査について記事を書いたんですが、もう少し掘り下げてみようかと。 サーバーの過負荷の発見 理論編 サーバーの過負荷の発見 メモリ使用率の調査&抽出、置換(awk,sed)コマン …

no image

サーバー設定ファイルについて apache

以前から気になっていたサーバーの設定ファイルに関しての疑問について調査。 本日はapacheについて学習しようと思います。 通常のapacheの設定ファイルは/etc/httpd/conf/httpd …