クロスサイトリクエストフォージェリ(CSRF/XSRF)の対策・修正方法と脆弱性の解説 – Self brandingクロスサイトリクエストフォージェリ(CSRF/XSRF)という脆弱性の理解 クロスサイトリクエストフォージェリ(以下CSRF)とはどんな脆弱性か。実は脆弱性診断を仕事にしている人でもきちんと理解していなかったり、説明が難しかったりする脆弱性です。 そんな、クロスサイトリクエストフォージェリ(CSRF/XSRF)を一言で説明すると 実行制御の不備を「①攻撃者が悪用」し、「②被害者が意図しないタイミングで機能を実行」した結果、「③被害者の資産への被害または攻撃者の不正利得の可能性」があるセキュリティの問題 です。①②の事象を満たしつつ、③の被害を示さなければならない点が難しいです。 たまたま座った場所にリモコンがあってエアコンが付いてしまうはCSRFなのか? 「②被害者が意図しないタイミングで機能を実行」は満たしていますが、①③を示す根拠は足りないため診断結果上は脆弱性としないと考えられます。
