Webセキュリティの小部屋

クロスサイトリクエストフォージェリ(CSRF)とその対策 (PDF)

JPCERT が クロスサイトリクエストフォージェリ(CSRF) 対策の資料を公開しました。

PDF の資料ですが、約100ページとかなりのボリュームになっています。

これだけ CSRF について詳細な解説記事はあまりないのではないでしょうか。

内容としては、CSRF の簡単な解説と対策、事例を紹介したあと、CSRF 対策ライブラリについて詳細に解説がされています。

CSRF の対策には、以下の３パターンの対策方法がありますが、この資料では CSRF 対策ライブラリについてかなりページをさいていますね。

• 独自実装
• Web フレームワークの機能
• CSRF 対策ライブラリ

個人的には、資料を読んだ上で、CSRF 対策ライブラリは利用するのに深い理解が必要なので、以下の優先順位での対策の検討が望ましいと考えますが、みなさんはどのようにお考えになるでしょうか？

1. Web フレームワークの機能
2. 独自実装
3. CSRF 対策ライブラリ

なお、CSRF の対策は、開発初期に決めておかないと、大きな手戻りになりますので、その点を注意されて対策を行うことをお進めします。

個人的にはなぜ今になって CSRF なのかという気がしないではないですが、CSRF は分かりにくい脆弱性でもあり、脆弱性が検出されると対応工数も大きくなるので啓蒙は必要なのでしょうね。

CSRF 対策ライブラリについては、よく調べたなと感心しました。実装環境に依存したものになりますが、一度目を通してみるとよいのではないでしょうか。

■関連記事

• クロスサイト・リクエストフォージェリ(CSRF)と対策
  • CSRF 対策(Java編)
  • CSRF 対策(ASP.NET,C#,VB.NET編)
  • CSRF 対策(PHP編)
• CSRF の安全なトークンの作成方法
  • CSRF の安全なトークンの作成方法(Java編)
  • CSRF の安全なトークンの作成方法(ASP.NET,C#,VB.NET編)
  • CSRF の安全なトークンの作成方法(PHP編)

カテゴリー:ブログ