セキュリティ診断項目解説

title1

セキュリティ診断項目の例を一部解説いたします。セキュリティリスク回避にご利用ください。



クロスサイトリクエストフォージェリ(CSRF)

概要

 「クロスサイトリクエストフォージェリ(CSRF)」とは、ユーザが入力したデータや操作内容をデータベースやファイルに記録しているWebサイトにおいて、攻撃者の罠サイトにアクセスしたユーザが、掲示板への書き込みや決済処理などの処理を、意図せず実行してしまう攻撃です。

1:ユーザは対象のWebサイトにログインしています。
2:攻撃者は、ユーザを掲示板などを装った罠サイトにアクセスするよう誘導します。
3:ユーザが罠サイトにアクセスすると、
4:ユーザは対象のWebサイトに強制的にアクセスさせられます。
5:その際に、ユーザは対象のWebサイトに、掲示板に書き込む、商品を購入するなどのリクエストを意図せず送信してしまいます。
6:そのリクエストを受け取ったWebサイトは、リクエストに従って処理を行い、掲示板への書き込みや決済処理などの処理が完了してしまいます。


・注意を要するWebサイト

cookieによるセッション管理をし、ユーザが入力したデータや操作内容を保存しているWebサイトで注意が必要です。

クロスサイトリクエストフォージェリ

クロスサイトリクエストフォージェリ(CSRF)

脅威・発生しうるリスク

 攻撃者によって「クロスサイトリクエストフォージェリ」が行われた場合、次のような被害を受ける可能性があります。

・利用者の意図しない処理の実行

 Webサイトの機能によって、行われる処理は異なります。例えば、Webサイトに掲示板に投稿する機能があった場合、攻撃者によってユーザは意図しない投稿してしまう可能性があります。また、商品を購入する機能があった場合、攻撃者によってユーザは意図しない商品購入をさせられる可能性があります。



ページトップにWebアプリケーション診断へ戻る


所在地

本店:

〒103-0013
東京都中央区日本橋人形町
1丁目14番8号 郵船水天宮前ビル6階
地図はコチラMapはコチラ

TEL : 03-5649-1961(代表)


赤坂オフィス:

〒107-0052
東京都港区赤坂2丁目17番7号
赤坂溜池タワー9階
地図はコチラMapはコチラ

TEL : 03-6861-5172

三井物産セキュアディレクション株式会社

MBSDロゴ

サイトマップ