• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

“誤認逮捕”を防ぐWebセキュリティ強化術

[2]CSRFとクロスサイトスクリプティング

徳丸 浩=HASHコンサルティング 2013/02/26 日経Linux
出典:日経Linux 2013年1月号
(記事は執筆時の情報に基づいており、現在では異なる場合があります)
目次一覧

CSRF

 CSRF攻撃とは、Webアプリケーションのサーバー側機能を、利用者の意図に反して勝手に実行させる攻撃である。

 掲示板の例を用いて説明しよう(図1)。誰でも書き込みできる掲示板example.jpがあり、図2の入力フォーム(要点のみ)から投稿できるとする。これに対して、攻撃者がevil.example.comに、図3の罠のページを用意したとする。

図1●CSRFの仕組み
[画像のクリックで拡大表示]
図2 CSRFの問題がある入力フォーム
図3 CSRFの罠ページ

 form要素のaction属性には同一生成元ポリシーのような制約はなく、どこでも好きなURLを指定できる。このため利用者がボタンを押すと、犯行予告が掲示板に書き込まれてしまう。

 さらに、この状態だと利用者がボタンを押さない限り攻撃は成功しないので、攻撃者はbody要素に以下のJavaScriptを追加する。

<body onload="document.forms[0].submit()">

 これにより、利用者が罠のページを閲覧しただけで犯行予告が利用者のブラウザーを通して書き込まれることになる。これがCSRF攻撃だ。

ここから先はITpro会員(無料)の登録が必要です。

次ページ  CSRF攻撃の対策
  • 1
  • 2
  • 3
  • 4

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【記者の眼】

    「純文学テック」はWebと出版の未来を切り開くか

     IT×金融の「FinTech」などX-TECH(クロステック)があらゆる分野に広がっている。ヤフーと三島由紀夫賞受賞作家である上田岳弘氏、新潮社、デザイン会社のタクラム・デザイン・エンジニアリングが2017年9月に始めたのは「純文学テック」と呼べる取り組みだ。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る