クロスサイト・リクエスト・フォージェリ(CSRF)

Posted on by

クロスサイト・リクエスト・フォージェリ(CSRF)

セッションを悪用し、登録制のウェブサイトにログインしている利用者に意図しない操作をさせる攻撃。あるWebサイトにログインしている状態で、別のサイトのリンクをクリックするなどの操作によって、悪意あるスクリプトを実行させる。

セッション=サーバ側で一般利用者を識別し、同一利用者に対して継続したサービスを提供するしくみ。ネットショッピングの買い物カゴ機能などで利用されている。

考えられる対策

  • 正しい手順によるリクエストのみ受け付けるよう識別情報を設定する。
  • 登録制サイトの操作中は、むやみに他サイトのリンクをクリックしない。操作が終了した場合は、必ずログアウトを実行する。

コメントは受け付けていません。