CSRF

セキュリティ

CSRFとは?

 状態:-  閲覧数:1,851  投稿日:2009-07-10  更新日:2017-09-15  
英語表記
・Cross-site Request Forgery

片仮名表記
・クロスサイトリクエストフォージェリ

Webアプリケーションに対する攻撃手法の一種
・悪意あるスクリプトやURLにアクセスさせることで、意図しないWebサイト上の操作を行わせる手法
・特定の機能を実行するときのHTTPリクエスト(URLや必要なパラメータなど)を攻撃者が推測可能な場合に、攻撃者によって誘導されたユーザーが、意図に反してその機能を実行させられてしまう
・その結果、本来受け付ける必要がない(拒否すべき)外部のWebページからのHTTPリクエスト(POSTやGET)によって、Webサイトの何らかの機能が実行される
・別のサイトに用意したコンテンツ上の罠のリンクを踏ませること等をきっかけとして、インターネットショッピングの最終決済や退会等Webアプリケーションの重要な処理を呼び出すようユーザを誘導する攻撃

特徴
・正規ユーザが本来想定されている操作を行ったかのようにリクエストを発生させることができる(リクエストの偽造:Request Forgery)

背景
・ブラウザが正規の Webコンテンツにアクセスした際には毎回、セッションを維持するために所定の Cookie、Basic認証データあるいは Digest認証データがブラウザから Webサーバ宛に送出されるという性質を、この攻撃は悪用する

攻撃対象
・トランザクション投入のきっかけとなったフォーム画面が自サーバから供給(POST)されたものであることを確認していない Webアプリケーション
・ログイン認証を必要とするWebサイト

攻撃を受けると?
・ユーザーの権限をもってログインしなければできないことが操作可能になる
・削除機能や編集機能、退会機能などを実行されてしまう恐れもある

対策

 閲覧数:200 投稿日:2017-09-15 更新日:2017-09-15 
攻撃者による推測が困難なパラメータをHTTPリクエストに含める

ワンタイムトークンの利用
・画面を識別するために外部からは予測不可能な使い捨てIDを発行し画面遷移をチェック

重要な処理を確定させる際に再認証を行う
・商品購入、決済などの重要な操作を確定させる前に必ずIDとパスワードを入力させる

Twitter検索結果。「CSRF」に関する最新ツイート

omochi | 1on1ミーティング好きの占い師 @omokawa_yasu
紫みみず#1682 @TarvosXXI
個人未開発さん @kimihito_

エントロピー / エントロピーソース

コメント投稿(ログインが必要)



類似度ページランキング
順位 ページタイトル抜粋
1 CMS 57
2 CRUD 50
3 ASCII 44
4 3C 33
5 HLS 29
6 UPS 29
7 CGM 29
8 SSH 29
9 VAST 25
10 SMTP 25
11 Senna 22
12 DTC広告 22
13 DNSサーバ 20
14 MS-DOS 20
15 MeCab 20
16 SMTPサーバ 18
17 Cross-Origin Resource Sharing 18
18 MACアドレス 18
19 DNSレコード 18
20 OpenSSH 18
2022/7/03 1:52 更新
週間人気ページランキング / 6-26 → 7-2
順位 ページタイトル抜粋 アクセス数
1 ベクトル | 数学 | プログラミング用語 268
1 curl | HTTPクライアント(ネットワーク) | プログラミング用語 268
2 ルーター | ネットワーク | プログラミング用語 267
3 Flash Video | コンテナフォーマット | プログラミング用語 265
4 正規表現 | プログラミング | プログラミング用語 261
5 デーモン | Linux | プログラミング用語 258
6 ユースケース | 開発 | プログラミング用語 237
7 チェックアウト | バージョン管理システム(開発) | プログラミング用語 158
8 YouTube | API | プログラミング用語 128
9 Linux | プログラミング用語 45
10 PowerShell | スクリプト | プログラミング用語 44
11 可搬性 | プログラミング | プログラミング用語 33
12 クローラ | 検索エンジン | プログラミング用語 25
13 Subversion | バージョン管理システム(開発) | プログラミング用語 23
14 アンチパターン | プログラミング | プログラミング用語 11
15 プログラミング用語 9
16 deflate | ネットワーク | プログラミング用語 8
17 Nginx / Nginxとは?/ Apacheとの違い | プログラミング用語 6
17 YouTubeに掲載されている動画を、ユーザーが作成したWebサービス上で再生する方法 | プログラミング用語 6
17 WebLogic | アプリケーションサーバ(サーバ) | プログラミング用語 6
2022/7/3 1:01 更新