リクエストフォージェリを再考 – リクエストのインジェクションと考える(Last Updated On: 2018年8月8日)リクエストフォージェリを再考してみたいと思います。リクエストフォージェリには SSRF(サーバーサイドリクエストフォージェリ) CSRF(クロスサイトリクエストフォージェリ) XXE(XMLエクスターナルエンティティ) などがあります。これらは「リクエスト」を「偽装」(フォージェリ)する攻撃です。名前からは直感的にどのような攻撃なのかよく解らないですが、「攻撃リクエストのインジェクション」と考えると解りやすいと思います。 リクエストフォージェリとは? リクエストフォージェリとは偽装したリクエストを正当なリクエストとして処理してしまう問題です。この問題は古いUNIX系システムで利用されていたリモートシェル(rコマンドと呼ばれていた)を利用した場合に発生することが広く認識されていました。 セキュリティ標準的には「真正性」(Authenti
