勉強前イメージ
クロスサイトスクリプトと似たようなやつ・・・
調査
CSRF とは
Cross Site Request Forgeries の略で、クロスサイトリクエストフォージェリとよみます。
webアプリケーションの脆弱性を使った攻撃で
Cross Site : 横断的
Request Forgeries : リクエストを偽装
サイトを横断してリクエストを偽装する方法です。
攻撃の流れ
- 対象サイトへログイン
- 利用者はセッションIDを取得
- 攻撃者はどうにかして利用者を罠サイトへ誘導し、閲覧させ、データを取得
- 利用者のセッションIDやクッキーなどを利用して攻撃対象サイトへリクエストを送信
ログイン後に利用可能な、購入や設定の変更などが行われ不正に改ざんされます。
XSSとの違い
似たような攻撃でXSS(クロスサイトスクリプティング) があります。
XSSの詳細は こちら をご覧ください
XSSとの違いは、
不正な処理の実行場所がXSSはクライアントであったのに対し、CSRFはサーバ側になります。
また、不正な処理の実行は利用者が対象のwebアプリケーションにログイン済みなことが前提となります。
対策
- 個別ユーザが取れる対策
利用後はログアウトを行う
また、見に覚えのないSNSへの投稿や購入などあれば即連絡
- サービス側が取れる対策
攻撃者に推測されにくい情報の称号を行う
画像化されたチェックコードをユーザに入力させる機能の実装
勉強後イメージ
似たような攻撃・・・
確かにログインしっぱなしだと、そのまま気づかないまま利用されてしまう可能性がある。