![ウェブパ[web制作・ホームページ制作]](https://web-pack.jp/wp-content/uploads/2017/05/cropped-header_logo.png){kind=logo}
サイトセキュリティについて(攻撃方法編05)
この記事をシェアする
さて、今回もサイトの攻撃方法についてご紹介していきましょう。
今回ご紹介するのは「CSRF攻撃」と呼ばれる攻撃方法です。
クロスサイトフォージェリ(CSRF)攻撃とは
Webサイトにスクリプトや自動転送(HTTPリダイレクト)を仕込む攻撃方法です。この攻撃は、閲覧者に意図せず別のWebサイト上で何らかの操作( 掲示板への書き込みなど)を行わせることができてしまいます。
閲覧者はCSRFの仕込まれたサイトにアクセスすることによって、特定の掲示板やアンケートなどに書き込まされたり、オンラインショップで買い物をさせられたりしてしまう。ブラウザでアクセスしただけで実行されてしまうため、ユーザが閲覧前に危険が無いかを調べて回避するのは現実的には難しいとされています。
攻撃対象となるところ
主に、お問合せフォームやログインページなどで行われます。 主に画像を送信ボタンなどにしているケースが多いです。
対策
・トークン(一時パス)を利用して、確認画面や入力画面での滞在時間に制限を加える。
・サーバーで全てのデータを保管する機能(セッションID)を利用する(別の危険性もあるので、私は お勧めしません)
