SV.CSRF.TOKEN

このエラーは、保存されている CSRF トークンに対する着信要求を検証しない状態変更要求ハンドラを示します。

脆弱性とリスク

クロスサイトリクエストフォージェリ (CSRF) は、悪意のある Web サイト、電子メール、ブログ、インスタントメッセージ、またはプログラムによって、ユーザーが現在認証されている信頼済みサイトでユーザーの Web ブラウザが不正なアクションを実行した場合に発生する攻撃の一種です。

CSRF の脆弱性を軽減するための標準的なアプローチは、シンクロナイザトークンを使用することです。暗号的に安全なランダムトークンは、ユーザーセッションに一意的に関連付けられ、状態変更操作をもたらす任意のフォームへの隠しフィールドとして追加されます。CSRF トークンが検証に失敗した場合、サーバーは要求されたアクションを拒否します。

コード例

脆弱コード例 1

6
7
8
9
10
11
12
13
14
15
16
17
18
    void doPost(HttpServletRequest req, HttpServletResponse resp) {
        String action = req.getParameter("action");
        String id = req.getParameter("id");
    
       if("update".equals(action)){
           updateUser(id, req);
       }
       //...
   }

   void updateUser(String userid, HttpServletRequest req) {
       //...
   }

SV.CSRF.TOKEN が 6 行目に対して報告されています。「req」は、可能性のあるクロスサイトリクエストフォージェリ攻撃に対してチェックされません。ハンドラは、アプリケーションの状態を変更する前に、有効な CSRF トークンが要求に含まれていることを確認する必要があります。

修正コード例 1

6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
    void doPost(HttpServletRequest req, HttpServletResponse resp) {
        if
    (req.getParameter("_csrf_token").equals(req.getSession().getAttribute("_csrf_token"))) {
            String action = req.getParameter("action");
           String id = req.getParameter("id");
 
           if ("update".equals(action)) {
               updateUser(id, req);
           }
           //...
       }
   }

   void updateUser(String id, HttpServletRequest req) {
       //...
   }

更新されたコードは、アプリケーションの状態を変更する前に要求を検証します。要求とともに発行されたトークンがユーザーのセッションに保存されたトークンと一致しない場合、その要求は拒否されます。

関連チェッカー

• SV.CSRF.ORIGIN
• SV.CSRF.GET
• SV.XSS.DB
• SV.XSS.REF

外部参考資料

• CWE-352: クロスサイトリクエストフォージェリ
• OWASP A1:2021 アクセス制御の不備
• OWASP A10:2021 サーバー側のリクエストフォージェリ (SSRF)

セキュリティトレーニング

Secure Code Warrior が提供しているアプリケーションセキュリティトレーニング教材。

• 「Cross Site Request Forgery (クロスサイトリクエストフォージェリ)」トレーニングビデオ - トレーニングサンプルを使用して自分のスキルをテストできます

拡張機能

このチェッカーは、Klocwork knowledge base (ナレッジベース) を利用して拡張できます。詳細については、Java 解析のチューニングを参照してください。