情報処理安全確保支援士 data_data_data

クロスサイトリクエストフォージェリ(CSRF)


引用:安全なウェブサイトの作り方 – 1.6 CSRF(クロスサイト・リクエスト・フォージェリ)|IPA


オンラインショッピングサイトで購入後、評価コメントを記載するなど罠ページに誘導されることで発生します。

罠ページでは、悪意のある攻撃者が商品情報などの決済データリンクを貼っておくことで、ユーザのブラウザがデータとセッションIDをオンラインサイトに送ります。


攻撃内容としては、以下が考えられます。

  1. ログイン後の利用者だけが利用できる操作ができる
  2. 情報の不正な改ざん、投稿


対策としては、決済処理ページの前に通るべき画面で乱数値を作成するなどがあります。

RECOMMENDこちらの記事も人気です。