概要
サイトAにログインした状態などにおいて、悪意のある第三者のページにつなぐと
そこからあたかも自分が想定しないリクエストを送ったような形でサイトAに
リクエストを送ってしまうこと。
ログインセッションが維持されていることから、
本来ユーザ本人でしか出来ないようなことが
脆弱性を含むサーバーに対し出来てしまう可能性がある。
典型例
1.訪問者が悪意を持って作られたページを覗く
2.何かクリックすると、何らかの処理を行うリクエストを送る。
3.ユーザ本人がWebシステムから行う操作と、
同様の操作が行えてしまうことにより、被害を受ける。
対策例
1.リファラが正しい場合に処理をする
2.パスワードを再入力させる
3.画面A→画面Bの仕様の場合、画面Aのページにhidden要素を仕込んでおき、画面Bでhidden値の一致を確認することで、正規の画面から移動したことを確認する。
4.重要操作の後に登録済メールアドレスに通知する。
最終更新:2021年10月18日 19:31
