CSRFとは?
状態:-
閲覧数:2,006
投稿日:2010-11-02
更新日:2014-06-06
Cross-Site Request Forgeries
・正規のユーザーがWebアクセスしている最中に,ユーザーの意図とは違う操作をさせられてしまう攻撃手法
・Webアプリとの間にセッションが張られているユーザーにスクリプト付きのWebページを送り込み,そのスクリプトにWebアプリを利用させる
・ユーザーが気付かない間に取引されてしまったりする
1.実行ページへ遷移する直前のページで、「hidden パラメータ」に秘密情報が挿入されるよう、実装
2.処理を実行するページへは POST メソッドでアクセス
3.実行ページではその値が正しい場合のみ処理を実行する
具体的な例
・「入力画面 → 確認画面 → 登録処理」のようなページ遷移
1.秘密情報を「hidden パラメータ」に出力
・利用者の入力内容を確認画面として出力する際、合わせて秘密情報を「hidden パラメータ」に出力する
秘密情報生成方法
・下記2通りある
・セッション管理に使用しているセッション ID を用いる方法
・セッション ID とは別のもうひとつの ID(第 2 セッション ID)をログイン時に生成して用いる方法
生成する ID
・暗号論的擬似乱数生成器を用いて、第三者に予測困難なように生成する
2.処理を実行するページへは POST メソッドでアクセス
・GET メソッドで行った場合、外部サイトに送信される Referer に秘密情報が含まれてしまう
3.実行ページではその値が正しい場合のみ処理を実行する
・確認画面から登録処理のリクエストを受けた際は、リクエスト内容に含まれる「hidden パラメータ」の値と、秘密情報とを比較
・一致しない場合は登録処理を行わないようにする
・上記実装であれば、攻撃者が「hidden パラメータ」に出力された秘密情報を入手できない限り、攻撃は成立しない
・正規のユーザーがWebアクセスしている最中に,ユーザーの意図とは違う操作をさせられてしまう攻撃手法
・Webアプリとの間にセッションが張られているユーザーにスクリプト付きのWebページを送り込み,そのスクリプトにWebアプリを利用させる
・ユーザーが気付かない間に取引されてしまったりする
対策
1.実行ページへ遷移する直前のページで、「hidden パラメータ」に秘密情報が挿入されるよう、実装
2.処理を実行するページへは POST メソッドでアクセス
3.実行ページではその値が正しい場合のみ処理を実行する
具体的な例
・「入力画面 → 確認画面 → 登録処理」のようなページ遷移
1.秘密情報を「hidden パラメータ」に出力
・利用者の入力内容を確認画面として出力する際、合わせて秘密情報を「hidden パラメータ」に出力する
秘密情報生成方法
・下記2通りある
・セッション管理に使用しているセッション ID を用いる方法
・セッション ID とは別のもうひとつの ID(第 2 セッション ID)をログイン時に生成して用いる方法
生成する ID
・暗号論的擬似乱数生成器を用いて、第三者に予測困難なように生成する
2.処理を実行するページへは POST メソッドでアクセス
・GET メソッドで行った場合、外部サイトに送信される Referer に秘密情報が含まれてしまう
3.実行ページではその値が正しい場合のみ処理を実行する
・確認画面から登録処理のリクエストを受けた際は、リクエスト内容に含まれる「hidden パラメータ」の値と、秘密情報とを比較
・一致しない場合は登録処理を行わないようにする
・上記実装であれば、攻撃者が「hidden パラメータ」に出力された秘密情報を入手できない限り、攻撃は成立しない