Security

CSRF(クロスサイト・リクエスト・フォージェリ) by IPA「安全なウェブサイトの作り方 第7版」

投稿日:2015年4月23日 更新日:

security-265130_1280

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「CSRF(クロスサイト・リクエスト・フォージェリ)」から一部抜粋する。(この資料はPDFでしか提供されていない)

注意が必要なウェブサイトの特徴

次の技術を利用してセッション管理を実装しているウェブサイトが、CSRF 攻撃による影響を受ける可能性があります。

  • Cookie を用いたセッション管理
  • Basic 認証
  • SSL クライアント認証

また、上記を実装するウェブサイトのうち、ログイン後に決済処理等の重要な処理を行うサイトは、攻撃による被害が大きくなるため、特に注意が必要です。

  • 金銭処理が発生するサイト
    • ネットバンキング、ネット証券、ショッピング、オークション 等
  • その他、ログイン機能を持つサイト
    • 管理画面、会員専用サイト、日記サイト 等

根本的解決

  • (i)-a 処理を実行するページを POST メソッドでアクセスするようにし、その「hidden パラメータ」に秘密情報が挿入されるよう、前のページを自動生成して、実行ページではその値が正しい場合のみ処理を実行する。
  • (i)-b 処理を実行する直前のページで再度パスワードの入力を求め、実行ページでは、再度入力されたパスワードが正しい場合のみ処理を実行する。
  • (i)-c Refererが正しいリンク元かを確認し、正しい場合のみ処理を実行する。

保険的対策

  • (ii) 重要な操作を行った際に、その旨を登録済みのメールアドレスに自動送信する。

CWE

参考URL

📂-Security
-

執筆者:labo


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

amazon

Amazon.co.jp の2段階認証で、スマートフォンを紛失した場合に備える

目次1. はじめに2. バックアップコードの機能がない3. スマートフォン紛失時のログイン手段として「コードが要求されない端末」を利用する4. 現時点でのまとめ 1. はじめに Amazon.co.j …

Web Security

「秘密の質問」機能について

目次「秘密の質問」とは?「秘密の質問」をどう使えばよいのか?参考サイト 「秘密の質問」とは? 「秘密の質問」とは、「質問」とそれに対応する本人しか知らない「答え」を設定し、パスワードリマインダやインタ …

no image

IPA「SSL/TLS 暗号設定 ガイドライン」を基にしたウェブサーバーの設定例

SSL/TLS暗号設定ガイドライン~安全なウェブサイトのために(暗号設定対策編)~:IPA 独立行政法人 情報処理推進機構 を参考にして、実際にウェブサーバーのSSL設定をどう書けばよいのか?をメモし …

no image

パス名パラメータの未チェック/ディレクトリ・トラバーサル by IPA「安全なウェブサイトの作り方 第7版」

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「パス名パラメータの未チェック/ディレクトリ・トラバーサル」から一部抜粋する。(この資料はPDFでしか提供されていない) …

Web Security

PHPのセキュリティ対策

PHP を安全に使うため、気を付けるべきポイントについて書いています。 目次1. ユーザーによる入力値の検証2. クロスサイトスクリプティング(XSS)対策1) HTML テキストの入力を許可しない場 …