2008-02-11 攻撃手法-CSRF(クロスサイトリクエストフォージェリ) 情報セキュリティ Cookie等に保存された正しい認証情報を使って、正規ユーザーに任意のコマンドを実行させる。 流れ 正規ユーザーが認証→認証情報がクッキーに保存される。 攻撃者がコマンドを実行するURLを正規ユーザーに送る。 正規ユーザーがURLをクリック。→クッキーの認証情報でコマンドが実行される。 対策 重要なコマンドのパラメータ(HiddenフィールドなどCookieとは別の手段で)として、正しい認証者しか知りえない情報を受け取り、チェックする。(SessionIDなど。)