���

����v��

�{�Ǝ㐫�����݂��� Web �A�v���P�[�V�����́A�t�H�[�}�b�g�ɉ������A�Ó��ň�ѐ��̂��郊�N�G�X�g���A���M�������[�U�̈Ӑ}�ʂ�ɓn���ꂽ���̂����\���Ɍ��؂��Ȃ��A���邢�͌��؂��s�”\�ł��B

�ڍׂȉ��

Web �T�[�o�����N�G�X�g�����؂����Ɏ󂯎��悤�݌v����Ă���ꍇ�A�U���҂��N���C�A���g���x���A�Ӑ}���Ȃ����N�G�X�g�� Web �T�[�o�ɑ��M������”\��������܂��B���̏ꍇ�AWeb �T�[�o�͂��̃��N�G�X�g�𐳋K�̂��̂Ƃ��Ď�舵���܂��B
���̍U����URL�A�摜�̓ǂݍ��݁AXMLHttpRequest ������čs���A�f�[�^�̘R������Ӑ}���Ȃ��R�[�h�̎��s�������”\��������܂��B

�ʖ�

�Z�b�V�������C�f�B���O
�N���X�T�C�g���t�@�����X�t�H�[�W�F��
XSRF

���_�I�ȕ⑫

CSRF�̃g�|���W�[�́A�����̌o�H�ɓn��܂��B

1. �U���҂���A����郆�[�U�ɑ΂��āB�����������͊O���̌o�H�ɂ����č�p���܂��B
2. ����郆�[�U����A�]���ƂȂ�T�[�o�ɑ΂��āB�����̌o�H�ɂ����č�p���܂��B

�Ǝ㐫�̔�������

�A�[�L�e�N�`������ѐ݌v

�Y������v���b�g�t�H�[��

����

����Ɉˑ�

����

Web�T�[�o

��ʓI�ȉe��

 

�e�����󂯂�͈�

�e��

�@���� ���S�� �—p��

�Z�p�I�C���p�N�g�F�����̎擾��Ȃ肷�܂��A�h�䃁�J�j�Y���̉���A�A�v���P�[�V�����f�[�^�̓ǂݎ�� �d�含�� CSRF �̐Ǝ㐫�����݂���@�\�̐����ɂ���ĕς��܂��B�U���҂͎�����A��Q�҂Ɠ����悤�ɑ�����s�����Ƃ��”\�ł��B��Q�҂��Ǘ��҂��邢�͌����̂��郆�[�U�������ꍇ�ɂ́Aweb �A�v���P�[�V�����̊��S�ȃR���g���[��(�f�[�^�̍폜��ގ�A���i�̃A���C���X�g�[���␻�i�̑S�Ẵ��[�U�ɑ΂���U���̊�ՂƂ��Ă̗��p��)��^���邱�ƂɂȂ�܂��B�U���҂͔�Q�҂̎��ʂ������Ă��邽�߁ACSRF �̋y�Ԕ͈͔͂�Q�҂̎��Œ������ɐ�������܂��B

 

�U�����󂯂�”\��

���`��

���o��i

�蓮����
�{�Ǝ㐫�̓y�l�g���[�V�����e�X�g�A���Ѓ��f���y�ю����҂��A�N�e�B�u�Z�b�V������ύX�A�L�^�ł���C���^���N�e�B�u�ȃc�[���̂悤�ȁA�蓮�́i�l�ɂ��j���͂�K�v�Ƃ���Z�p�ƃc�[���ɂ���Č��o�”\�ł��B

��̓I�ɂ́A�蓮�ɂ�镪�͖͂{�Ǝ㐫�̔����ɗL���ł���A�r�W�l�X���W�b�N�𗝉����Ă���΃t�H�[���X�|�W�e�B�u���ŏ������܂��B�������A���ԓI�Ȑ���̒��ŃR�[�h�S�Ă𕪐͂��邱�Ƃ͕s�”\�ł��傤�B�u���b�N�{�b�N�X���͂ɂ����ē����A�J�E���g�̏�񂪂Ȃ��ꍇ�A�A�v���P�[�V�����ɂ����ăZ�L�����e�B��ł��d�v�ȕ����ւ̔z�����\���ł͂Ȃ��”\��������܂��B

���ݓI�Ȗ�����肵�A�蓮���͂ɖ𗧂� OWASP CSRFTester �̗��p����������܂��B

�L�����F��
�蓮���͂͊��S�Ɏ��������ꂽ��i�������ʓI�ł��B�Ǝ㐫���݌v�y�уr�W�l�X���[���Ɋ֌W����ꍇ�ɓ��ɗL���ł��B

�����ÓI����
���݂̂Ƃ���ACSRF �͎������͂��g�p���Ă��m���ɖh�����Ƃ͍���ł��B����́A�e�A�v���P�[�V���������ꂼ��A�O������̉e�����󂯂郊�N�G�X�g������t����Öق̃Z�L�����e�B�|���V�[�������Ă��邱�ƁA�y�у��[�U���쐬���悤�Ƃ��郊�N�G�X�g�ɑ΂��鍂���M����v�����郊�N�G�X�g�ɑ΂��āA���[�U�̑���Ɏ������s���Ă��邱�Ƃ������ł��B�Ⴆ�΁Aweb �T�C�g�̌��J�����ɂ���L�[���[�h�����́A��ʓI�Ƀ��[�U�������N���N���b�N���������Ƃ��Ɏ����I�Ɏ��s����郊���N���ŃG���R�[�h����邱�Ƃ����҂���Ă��܂��B

�L�����F����I

�Ǝ�ȃR�[�h��

�� 1:

 

���� PHP �̃R�[�h��́A���[�U�̓��e���K�؂ȃZ�b�V�����������Ă��邱�Ƃ��m�F���邱�Ƃɂ��A�t�H�[���̓��e���������S�ɂ��悤�Ƃ������̂ł��B�������A�U���҂͓K�؂ȃZ�b�V���������łɕێ����Ă��郆�[�U�� web �u���E�U����̃��N�G�X�g���U�����邽�߁ACSRF �U���͂��̑΍�ł͖h�����Ƃ��ł��܂���B �ȉ��� HTML �̓��[�U�Ƀv���t�B�[���̃A�b�v�f�[�g���s�킹�邽�߂̂��̂ł��B

Example Language: HTML (Bad Code)

<form action="/url/profile.php" method="post">
<input type="text" name="firstname"/>
<input type="text" name="lastname"/>
<br/>
<input type="text" name="email"/>
<input type="submit" name="submit" value="Update"/>
</form>

profile.php �ɂ́A�ȉ��̃R�[�h���܂܂�Ă��܂��B

Example Language: PHP (Bad Code)

// initiate the session in order to validate sessions

session_start();

//if the session is registered to a valid user then allow update

if (! session_is_registered("username")) {

echo "invalid session detected!";

// Redirect user to login page
[...]

exit;
}

// The user session is valid, so process the request
// and update the information

update_profile();

function update_profile {
// read in the data from $POST and send an update
// to the database
SendUpdateToDatabase($_SESSION['username'], $_POST['email']);
[...]
echo "Your profile has been successfully updated.";
}

�ꌩ�A�K�؂ȃZ�b�V�������m�F���Ă��邽�߂��̃R�[�h�͕ی삳��Ă���悤�Ɍ����܂��B�������ACSRF �U���͎����I�ɁAimage �^�O�A�����N�A���ߍ��݂� object �^�O �܂��́A�w�i�C���[�W���Ăяo�����̑��̑������܂߂Ă���A������^�O�� HTML �\��������s�”\�ł��B

�U���҂́A�W�I�� web �A�v���P�[�V�����Ƀ��O�C�����Ă���ԂɃy�[�W��K�ꂽ�����郆�[�U�̃��[�U���⃁�[���A�h���X��ύX����R�[�h�����̂΂��邱�Ƃ��”\�ł��B���̃R�[�h�͈ȉ��̂悤�ɖ��Q�� web �y�[�W�Ɍ����܂��B

 

�������ꂽ����

 

�Q��	�ڍ�
CVE-2004-1703	Add user accounts via a URL in an img tag
CVE-2004-1995	Add user accounts via a URL in an img tag
CVE-2004-1967	Arbitrary code execution by specifying the code in a crafted img tag or URL
CVE-2004-1842	Gain administrative privileges via a URL in an img tag
CVE-2005-1947	Delete a victim's information via a URL or an img tag
CVE-2005-2059	Change another users settings via a URL or an img tag
CVE-2005-1674	Perform actions as administrator via a URL or an img tag
CVE-2009-3520	modify password for the administrator
CVE-2009-3022	CMS allows modification of configuration via CSRF attack against the administrator
CVE-2009-3759	web interface allows password changes or stopping a virtual machine via CSRF

 

��Q�̊ɘa��

�t�F�[�Y�F�A�[�L�e�N�`������ѐ݌v

�헪�F ���C�u�����A�t���[�����[�N
�{�Ǝ㐫�̔�����h���A���邢�͖{�Ǝ㐫��������₷���\����񋟂���A�\���Ɍ������ꂽ���C�u������t���[�����[�N���g�p���Ă��������B
��Ƃ��āAOWASP CSRFGuard �Ȃǂ�CSRF�΍�p�b�P�[�W���������܂��B
���̗�Ƃ��ẮACSRF �ɑ΂���R���|�[�l���g������  ESAPI Session Management control ���������܂��B

�t�F�[�Y�F����

������ CSRF �΍�͍U���҂���̃X�N���v�g�ɂ��������邽�߁A��������A�v���P�[�V�����ɃN���X�T�C�g�X�N���v�e�B���O�̖�� (CWE-79) ���������Ƃ��m�F���ĉ������B

�t�F�[�Y�F�A�[�L�e�N�`������ѐ݌v

��ӂ̗������t�H�[�����ɐ����A�Z�b�g���A�t�H�[�����󂯎�闐�������؂��Ă��������B
���̗����͐�������Ȃ��̂ɂ��ĉ����� (CWE-330).�B
���̊ɘa��̓N���X�T�C�g�X�N���v�e�B���O�iCWE-79�j�ɂ�����”\�ł��邱�Ƃɒ��ӂ��Ă��������B

�t�F�[�Y�F�A�[�L�e�N�`������ѐ݌v

���Ɋ댯�ȏ�������肵�Ă��������B���[�U���댯�ȏ������s�����ꍇ�A���[�U�����̏������Ӑ}���Ă��邩���m�F����•ʂ̊m�F���N�G�X�g�𑗐M���Ă��������B
���̊ɘa��̓N���X�T�C�g�X�N���v�e�B���O�iCWE-79�j�ɂ�����”\�ł��邱�Ƃɒ��ӂ��Ă��������B

�t�F�[�Y�F�A�[�L�e�N�`������ѐ݌v

Felten �� Zeller �̒񏥂��� "double-submitted cookie" ���\�b�h���g�p���ĉ������B
���̎�@�� Javascript ��K�v���邽�߁AJavascript ���L���łȂ��u���E�U�ɂ͌��ʂ�����܂���B
���̊ɘa��̓N���X�T�C�g�X�N���v�e�B���O�iCWE-79�j�ɂ�����”\�ł��邱�Ƃɒ��ӂ��Ă��������B

�t�F�[�Y�F�A�[�L�e�N�`������ѐ݌v

��Ԃ̕ύX�������N�����S�Ẵ��N�G�X�g�ɂ����āAGET ���\�b�h���g�p���Ȃ��ʼn������B

�t�F�[�Y�F����

�Ӑ}�����y�[�W���烊�N�G�X�g�����M����Ă��邩���m�F���邽�߁AHTTP Referer �w�b�_���m�F���ĉ������B���[�U��v���L�V���v���C�o�V�[��̗��R�� Referer �̑��M�𖳌��ɂ��Ă���”\�������邽�߁A�{���̋@�\�Ƃ��Ĉᔽ����”\��������܂��B
���̊ɘa��̓N���X�T�C�g�X�N���v�e�B���O�iCWE-79�j�ɂ�����”\�ł��邱�Ƃɒ��ӂ��Ă��������B�U���҂̓N���X�T�C�g�X�N���v�e�B���O�ɂ���āA���[�U�ɂȂ肷�܂��� Referer �𐶐�����A���邢�� Referer �̋��‚��ꂽ�y�[�W����A���ӂ̂��郊�N�G�X�g�𐶐�����”\��������܂��B

�֌W��

 

Nature	Type	ID	Name	View(s) this relationship pertains to
Requires	Weakness Base	346	Origin Validation Error	Research Concepts1000
Requires	Weakness Base	441	Unintended Proxy/Intermediary	Research Concepts1000
Requires	Weakness Base	613	Unintended Proxy/Intermediary	Research Concepts1000
Requires	Weakness Class	642	External Control of Critical State Data	Research Concepts1000
ChildOf	Weakness Class	345	Insufficient Verification of Data Authenticity	Development Concepts (primary)699
				Research Concepts (primary)1000
ChildOf	Category	716	OWASP Top Ten 2007 Category A5 - Cross Site Request Forgery (CSRF)	Weaknesses in OWASP Top Ten (2007) (primary)629
ChildOf	Category	751	2009 Top 25 - Insecure Interaction Between Components	Weaknesses in the 2009 CWE/SANS Top 25 Most Dangerous Programming Errors (primary)750
ChildOf	Category	801	2010 Top 25 - Insecure Interaction Between Components	Weaknesses in the 2010 CWE/SANS Top 25 Most Dangerous Programming Errors(primary)800
ChildOf	Category	814	OWASP Top Ten 2010 Category A5 - Cross-Site Request Forgery(CSRF)	Weaknesses in OWASP Top Ten (2010)(primary)809
MemberOf	View	635	Weaknesses Used by NVD	Weaknesses Used by NVD (primary)635
PeerOf	Weakness Base	79	Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')	Research Concepts1000

 

�֌W���̕⑫

�N���X�T�C�g�X�N���v�e�B���O�iXSS�j�ɂ��ACSRF ����������”\��������܂��B
�i�K�������ACSRF �̌����� XSS �ł���Ƃ͌���܂���B�j

�v�������� �iCWE �̌����j

��肪�����ɂȂ�n�߂� 2008 �N�O��܂ł́ACVE �ɂ����ĉߏ��񍐂���Ă��܂������ACSRF �͂قƂ�ǂ� Web �A�v���P�[�V�����ɑ��݂���Ǝ㐫�ł��B

���g�D�ł̕���

 

�g�D���܂��͑g�D�ł̕���	�m�[�h ID	CWE�̕��ނƂ̓K���x	���ޖ�
PLOVER			Cross-Site Request Forgery (CSRF)
OWASP Top Ten 2007	A5	����	Cross Site Request Forgery (CSRF)
WASC	9		Cross-site Request Forgery

 

�֘A����U���p�^�[��

 

CAPEC-ID	�U���p�^�[���� (CAPEC Version 1.5)
62	Cross Site Request Forgery (aka Session Riding)
111	JSON Hijacking (aka JavaScript Hijacking)

 

�Q��

[REF-17] Michael Howard, David LeBlanc and John Viega. "24 Deadly Sins of Software Security". "Sin 2: Web-Server Related Vulnerabilities (XSS, XSRF, and Response Splitting)." Page 37. McGraw-Hill. 2010.
Peter W. "Cross-Site Request Forgeries (Re: The Dangers of Allowing Users to Post Images)".
Bugtraq. <http://marc.info/?l=bugtraq&m=99263135911884&w=2>.
OWASP. "Cross-Site Request Forgery (CSRF) Prevention Cheat Sheet". <http://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet>.
Edward W. Felten and William Zeller. "Cross-Site Request Forgeries: Exploitation and Prevention". 2008-10-18. <http://freedom-to-tinker.com/sites/default/files/csrf.pdf>.
Robert Auger. "CSRF - The Cross-Site Request Forgery (CSRF/XSRF) FAQ". <http://www.cgisecurity.com/articles/csrf-faq.shtml>.
Cross-site request forgery. Wikipedia. 2008-12-22. <http://en.wikipedia.org/wiki/Cross-site_request_forgery>.
Jason Lam. "Top 25 Series - Rank 4 - Cross Site Request Forgery". SANS Software Security Institute. 2010-03-03. <http://blogs.sans.org/appsecstreetfighter/2010/03/03/top-25-series-%E2%80%93-rank-4-%E2%80%93-cross-site-request-forgery/>.

�X�V����

[2011�N04��21��]
  2010�N10��12�����_�̃f�[�^�����ɍX�V
[2009�N06��29��]
  2009�N02��02�����_�̉��L URL �����ɍ쐬
    http://cwe.mitre.org/data/definitions/352.html