クロスサイトスクリプティングと名前が似ているクロスサイトリクエストフォージェリについて説明していきます。
■概要
Webアプリケーションにはサービス提供時にログイン機能を設けているものがありますが、ログインしたユーザからのリクエストについて、利用者が意図したリクエストであるかどうかを判別せずにそのままリクエストを受け入れてしまうものがあります。
そのようなアプリケーションは攻撃者からの罠を経由した悪意あるリクエストを正規ユーザのリクエストとして受け入れてしまい、ユーザが意図していない動作を実行してしまう可能性があります。
サイトをまたいだリクエストの偽造ということで「Cross-Site Request Forgeries(クロスサイトリクエストフォージェリ)」と呼びます。
■想定される被害
クロスサイトリクエストフォージェリによって生じる被害には、以下のようなものがあります。
どのような被害を受ける可能性があるかあらかじめ把握しておき、攻撃を受けないように対策を検討することが必要です。
・ログイン後の正規ユーザのみが利用可能な機能を悪用される
※不適切な投稿、パスワード変更、商品購入、不正な送金、退会処理など
■対策
クロスサイトリクエストフォージェリの対策として挙げられるものは以下のようなものとなります。
・セッションIDとは別にページ遷移時に利用するIDを用意し、処理実行時はそのIDが前ページからのものであるか確認する。
入会申込
ログイン
