クロスサイト・リクエスト・フォージェリ - Server

攻撃者が用意した罠サイトによって、リクエストが偽造され、ユーザーが意図しない処理を強制的に実行されてしまう脆弱性、または攻撃方法。

• ログイン後の利用者のみが利用可能なサービスの悪用
• ログイン後の利用者のみが編集可能な情報の改ざん、新規登録

• 処理を実行するページを POST メソッドでアクセスするようにし、その「hidden パラメータ」に秘密情報が挿入されるよう、前のページを自動生成して、実行ページではその値が正しい場合のみ処理を実行する。
• 処理を実行する直前のページで再度パスワードの入力を求め、実行ページでは、再度入力されたパスワードが正しい場合のみ処理を実行する。
• Referer が正しいリンク元かを確認し、正しい場合のみ処理を実行する。
• 重要な操作を行った際に、その旨を登録済みのメールアドレスに自動送信する。