• ホーム
  • スタートアップガイド
  • 障害・メンテナンス情報
  • マイページ
  • 会社情報
セブンアーチザンのサポート情報
  • ホーム
  • スタートアップガイド
  • 障害・メンテナンス情報
  • マイページ
  • 会社情報

用語集

CSRF(Cross Site Request Forgery)

10/9/2018

 
CSRF(Cross Site Request Forgery)とは、webアプリケーションに存在する脆弱性の一種、また、その脆弱性を利用した攻撃方法のことです。

掲示板やアンケートフォームなどを処理する「フォーム」と呼ばれる機能を持っているwebアプリケーションが、本来拒否すべきはずの他サイトからの不正なリクエストを受け取り、処理してしまうことから被害が発生します。

この脆弱性を悪用すると、誰かになりすましてSNSにコメントしたり、掲示板やアンケートフォームに犯罪予告を不正に書き込んだり、オンラインショッピングサービスを勝手に利用すること等ができてしまいます。
<攻撃の仕組み>
(1
) 攻撃者が不正リクエストを仕掛けた攻撃用のwebサイトを準備します。
(2
) 攻撃者が、被害者が閲覧しているサイトやメールにURLを仕込む等して、攻撃用webサイトを見るように誘導します。
(3
) 被害者が攻撃用webサイトを閲覧すると、攻撃用webサイトにあらかじめ用意された不正リクエストが攻撃対象のサーバーに送信されます。
(4
) 攻撃対象のサーバー上のwebアプリケーションからすると、正規のユーザーが正当なリクエストを送信してきたと認識するので、不正リクエストはそのまま受け入れられ、処理が行われます。(ここがCSRFの脆弱性の厄介な所です)
(5
) 攻撃用webサイトを閲覧している被害者は、アクセスするつもりのないwebサイトに強制的にアクセスさせられ、コメントなどが勝手に書き込まれます。
※書き込まれた
Webサイトのアクセスログには、被害者のPCからのアクセス情報(IPアドレス等)が残ります。そのため、攻撃用webサイトに誘導された被害者が、攻撃対象のサーバーへ不正リクエストをした攻撃者として認識される恐れがあります。
<CSRFの対策>
・web
管理者側
CSRFは
webアプリケーション全体に影響が及ぶので、設計段階から対策を行う必要があり、サイト外からのリクエストを受信、処理しないシステムを作り込むのが大事です。
ただ、CSRFの対策は全画面で行うわけではなく、パスワードの変更といった重要な処理を行うページを選別して行います。具体的には、攻撃者に推測されにくい、任意の情報を照合する処理(例えばセッションID、ページトークン、ランダム数字)を実装するといった方法です。画像化されたチェックコードを表示してユーザーに入力させる画像キャプチャ機能の実装も効果的です。
​
・ユーザー側
電子メールやweb
サイト内に仕込まれた不審なURLを安易にクリックするのは避け、個人端末にもセキュリティソフトを導入し、攻撃用webページにアクセスするのを事前にブロックするのが最良の方法です。

コメントはクローズされています。

    カテゴリ

    すべて
    DNS
    IPアドレス
    RAID
    SSL
    WEB
    インターネット
    インターフェース
    ウィルス
    サーバ
    セキュリティ
    ドメイン
    ネットワーク
    ハッシュ
    ファイアウォール
    ファイル
    ファイル
    メール
    ロードバランサー

    RSS フィード

ワンコイン99円サーバー
ワンコインで簡単にサイト制作!大容量で対応致します。
信頼のグランパワー
わかりやすいインターフェース、信頼のサービスで、初心者でも利用可能です。
制限なしの無限サーバー
ウェブサイト構築に特化した無限サーバ、アカウントのデータ容量も気にせず利用できます。
​大容量ギガレンタルサーバー
大容量かつ、DB、ドメイン無制限で、たくさんのサイトの構築も可能です!
ワードプレス最適化サーバー
ワードプレスに最適化した高速サーバー。転送量無制限
今すぐ使えるクラスCIP分散 CIPserver
IPアドレスをクラスCで分散したレンタルサーバー
マルチドメインのIP分散 TICserver
クラスCのIP分散をマルチドメインで運用可能。しかも格安。
セキュリティ対策サイトロック
24時間ウェブサイトを守ります。
無料ホームページ TOK2
無料ホームページで作成。容量無制限・商用無制限で、PHP・CGI ・FTP・ファイルマネージャーまで使えます。
​​​TOK2プロフェッショナル
​わかりやすいインターフェース、信頼のサービスで、初心者でも利用可能です。


日本最安で購入できるドメイン販売はこちら
サーバーと一緒にドメインをご契約頂ければ管理もスムーズです。
無料ホームページと無料ブログ sitemix
ホームページスペースとブログ機能が標準装備。広告・商用利用可能、独自ドメイン可能、PHPも使えます。
二段階定額制レンタルサーバーBfit
二段階定額制レンタルサーバー
SSLレンタルサーバーBfitセキュア
SSLレンタルサーバーが月額300円で利用可能。大事なデータを暗号化。あなたの情報を守ります。
Bfitドメイン
大容量かつ、DB、ドメイン無制限で、たくさんのサイトの構築も可能です!
​​法人用レンタルサーバービズサーブ
​快適・高機能・安定性ある法人レンタルサーバー。大容量なのに月額わずか3,500円!初期費用無料!!

© 7artisan.com
  • ホーム
  • スタートアップガイド
  • 障害・メンテナンス情報
  • マイページ
  • 会社情報