403 Invalid CSRF Token応答 CSRFってなに?

Pocket

チョット考えれば当たり前なのに

cromに追加したTalend Cloud API Testerから直接ibm watoson assistantにpostしても、

403エラーで、

応答が返ってきたよ。

セキュリティを考えれば当然だよね。

get statusは200 okでステータスが読めたよ。

読むだけだもんね。OKなんだろうね。

ところでCSRFって何?

CSRF(Cross-site request forgery :クロスサイトリクエストフォージェリ)って言うんだって。

Forgery :偽造の意味。
csrfは、Webアプリケーションの脆弱性を利用した悪意のある攻撃。

クロスサイトリクエストフォージェリ(CSRF) | トレンドマイクロのページでは

以下は、クロスサイトリクエストフォージェリ(CSRF) | トレンドマイクロのページではページからの引用です。

攻撃の手法・特徴
攻撃者は攻撃用Webページを準備し、ユーザがアクセスするよう誘導します
ユーザが攻撃用Webページにアクセスすると、攻撃用Webページ内にあらかじめ用意されていた不正なリクエストが攻撃対象サーバに送られます
攻撃対象サーバ上のWebアプリケーションは不正なリクエストを処理し、ユーザが意図していない処理が行われてしまいます
影響と被害
攻撃者は自身が直接攻撃対象サーバへアクセスすることなく、攻撃対象のWebアプリケーションに任意の処理を行わせることができます。CSRFを利用して行われる主な攻撃としては、以下があります:

いたずら的書き込み、不正サイトへの誘導、犯罪予告といった掲示板やアンケートフォームへの不正な書き込み
不正な書き込みを大量に行うことによるDoS攻撃
攻撃Webページに誘導された一般ユーザには直接的な被害はありません。ただし、攻撃対象サーバへの不正なリクエストを送信した攻撃者として認識されてしまうことがあります

引用 トレンドマイクロ(https://www.trendmicro.com/ja_jp/security-intelligence/research-reports/threat-solution/csrf.html

ipaからの引用

以下は、ipaからの引用です。

CSRF (クロスサイト・リクエスト・フォージェリ)の具体的な攻撃例
ログイン中の処理のイメージ

図中の攻撃例の詳細
攻撃者がBさんの掲示板に罠を仕掛ける
A子さんがBさんの掲示板を見る(SNSログイン済み)
A子さんが罠のリンクが入ったページを表示し、リンクをクリックする
Bさんの掲示板からW社のウェブサイトに移って(クロス)、ユーザの要求を偽って(フォージェリ)、悪意を持って細工された要求(リクエスト)が送られる
結果、友達にのみ公開していた情報が全ての人に公開されてしまう
博士「ログインしていることが前提となっている攻撃方法のため、ユーザの権限でできる範囲の操作が攻撃者に実行させられてしまいます。」
「例えば、秘密にしたい日記をすべてのユーザに公開させられてしまったり、非公開にしていた個人情報を公開をさせられてしまったり、ユーザの権限でできる操作の内容によって、被害が拡大する場合もありますね。」
博士「対策は、IPAのウェブサイト内の脆弱性ごとの対策ページを参照してくださいね。」

引用 IPA CSRF (クロスサイト・リクエスト・フォージェリ)に関するページ

https://www.ipa.go.jp/security/vuln/vuln_contents/csrf.html#sec02

ほんとはよくわかってないのでR。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする