https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt80000009sgk-att/2022r04h_sc_pm2_qs.pdf
以下のおすすめ問題の解説となります。
良書。
[サイトXのCSRF脆弱性]
サイトXは、セッションIDをJSESSIONIDというcookieに格納している。D社は、サイトXのキャンペーン応募ページでCSRF脆弱性を検出した。
CSRF脆弱性を確認した手順は、次のとおりであった。
⑴診断用利用者(以下、利用者Aという)の利用者IDでサイトXにログインし、キャンペーン応募ページで送信されるリクエストの内容をツールを使って確認した。リクエストの内容を図2に示す。
リクエストの内容を確認後、csftokenをCSRF対策用のパラメタと考え、リクエスト中のcsftokenの値を削除して送信した場合と1文字変更して送信した場合を試したところ、どちらもエラーとなった。
⑵利用者Aとは別の診断用利用者(以下、利用者Bという)の利用者IDでサイトXにログインし、キャンペーン応募ページで送信されるリクエスト中のcsftokenの値に、図2のcsftokenの値を設定して送信したところ、利用者Bとして処理された。
この結果から、csftokenと(a)又は(b)とをひも付けるという対策ができていないことが分かった。
a:利用者ID
図2のcsftokenの値を設定して送信したところ、利用者Bとして処理された。
とある。利用者Aと利用者Bを区別するにはセッションIDごとの管理が必要となるが、csftokenにはその役割を果たしていない。