⚠ サイトの改ざん・マルウェア被害にお困りの方はこちら

クロスサイトリクエストフォージェリ(CSRF/シーサーフ)とは

Webアプリの脆弱性

定義

ログイン状態の利用者を罠サイトへ誘導し、本人の意図と無関係なリクエスト(退会・パスワード変更・送金など)をこっそり送らせる攻撃です。ブラウザが自動でCookieを送る仕組みを悪用します。

なぜ危険か

本人が気づかないうちに設定変更・購入・送金などが実行されます。管理機能に対して成立すると、被害が一気に広がります。

確認方法

各フォームに推測困難なCSRFトークンを埋め込み、受信時に検証しているかを確認します。Cookieの SameSite 属性も有効な対策です。

あなたのサイトは大丈夫?無料でセキュリティ健診

URLを入れるだけ。登録不要で、外から見える弱点をその場でスコア表示します。

無料で健診する

このリスクを今すぐ確認

Webサイト脆弱性診断(無料)→

関連する用語

クロスサイトスクリプティングCookie の HttpOnly / Secure 属性アクセス制御の不備
日本情報基盤サービス株式会社/JIISセキュリティラボ / www.jiis.co.jp
本ページは一般的な解説であり、個別の環境での適用は専門家にご相談ください。