CSRF

セキュリティ

CSRFとは?

 状態:-  閲覧数:2,084  投稿日:2009-07-10  更新日:2017-09-15  
英語表記
・Cross-site Request Forgery

片仮名表記
・クロスサイトリクエストフォージェリ

Webアプリケーションに対する攻撃手法の一種
・悪意あるスクリプトやURLにアクセスさせることで、意図しないWebサイト上の操作を行わせる手法
・特定の機能を実行するときのHTTPリクエスト(URLや必要なパラメータなど)を攻撃者が推測可能な場合に、攻撃者によって誘導されたユーザーが、意図に反してその機能を実行させられてしまう
・その結果、本来受け付ける必要がない(拒否すべき)外部のWebページからのHTTPリクエスト(POSTやGET)によって、Webサイトの何らかの機能が実行される
・別のサイトに用意したコンテンツ上の罠のリンクを踏ませること等をきっかけとして、インターネットショッピングの最終決済や退会等Webアプリケーションの重要な処理を呼び出すようユーザを誘導する攻撃

特徴
・正規ユーザが本来想定されている操作を行ったかのようにリクエストを発生させることができる(リクエストの偽造:Request Forgery)

背景
・ブラウザが正規の Webコンテンツにアクセスした際には毎回、セッションを維持するために所定の Cookie、Basic認証データあるいは Digest認証データがブラウザから Webサーバ宛に送出されるという性質を、この攻撃は悪用する

攻撃対象
・トランザクション投入のきっかけとなったフォーム画面が自サーバから供給(POST)されたものであることを確認していない Webアプリケーション
・ログイン認証を必要とするWebサイト

攻撃を受けると?
・ユーザーの権限をもってログインしなければできないことが操作可能になる
・削除機能や編集機能、退会機能などを実行されてしまう恐れもある

対策

 閲覧数:244 投稿日:2017-09-15 更新日:2017-09-15 
攻撃者による推測が困難なパラメータをHTTPリクエストに含める

ワンタイムトークンの利用
・画面を識別するために外部からは予測不可能な使い捨てIDを発行し画面遷移をチェック

重要な処理を確定させる際に再認証を行う
・商品購入、決済などの重要な操作を確定させる前に必ずIDとパスワードを入力させる

Twitter検索結果。「CSRF」に関する最新ツイート

Kurogoma4D🫰 @Krgm4D
最近Googleログインで今Chromeでログインしてるアカウントと別のアカウントにログインしようとするとCSRF検出に引っかかるけどなんかあった? 2023/01/31 23:08
泰造 @bot85133610
法律事務所クロス メール 無料相談 ももクロ 遊戯王 ランキング 流出 ロゴ ログ速 笑ってはいけない ガジェット goo google 御成敗式目 住所 ダチョウ ジュニアアイドル 事務所 事務員 実績 実務 ウイルス 著作権侵害 CSRF XSRF 会計士 2023/01/31 18:58
くちた える @kuchita_el
@takum74906530 csrfって何っていうのはちょっと困りますね…… たぶん私が昔やっていたプロジェクトでseleniumを使ってテストするならCookieの設定は必要になったと思います。トークン送受信の方法によるのでなんとも言えませんが…… 2023/01/31 18:27
takum @takum74906530
@kuchita_el バック側で制御なんですけど、フロント担当の人で、csrfって何?って感じの人がいたから💦 formにトークン書かれてないから、ヘッドレスでseleniumとかは、クッキーの値も引き継がないと動かんってことになるんすね。 2023/01/31 16:41
くちた える @kuchita_el
@takum74906530 昔やってたところはCookieでCSRFトークンを管理していたので、フォームを作成するときには特に気にしていませんでしたねー。 2023/01/31 15:58
ねごと @GodNegoto
spring security6.0だるすぎい! csrf トークンの検証全然通らないやんけ 2023/01/31 15:49
takum @takum74906530
完全分業で、フロント開発者がフォームとか作成する時って、csrf何も意識してないんかな。 バック側で勝手に設定してるってこと? 2023/01/31 15:17
泰造 @bot85133610
法律事務所クロス メール 無料相談 ももクロ 遊戯王 ランキング 流出 ロゴ ログ速 笑ってはいけない ガジェット goo google 御成敗式目 住所 ダチョウ ジュニアアイドル 事務所 事務員 実績 実務 ウイルス 著作権侵害 CSRF XSRF 会計士 2023/01/31 06:58
shinobe179 @shinobe179
古いやられサイトだからあれだけど、今日日CSRFなんて検査しなくていいような気もする 2023/01/30 22:01
shinobe179 @shinobe179
あ、、、あれ?VulnerabilitiesにCSRFがない、、、? https://t.co/QeY9FmIA01 2023/01/30 21:56
Kitamura @kws2022
csrfトークンが無効です。 って今晩の夢に出そうです。 進捗ほぼない!クソッタレ! 2023/01/30 21:14
中年プログラマ @kijuky
play2.4はcsrfをcompile time diで利用できない…? 2023/01/30 20:32
泰造 @bot85133610
法律事務所クロス メール 無料相談 ももクロ 遊戯王 ランキング 流出 ロゴ ログ速 笑ってはいけない ガジェット goo google 御成敗式目 住所 ダチョウ ジュニアアイドル 事務所 事務員 実績 実務 ウイルス 著作権侵害 CSRF XSRF 会計士 2023/01/30 17:58
takum @takum74906530
会議中に、CSRF (クロスサイト・リクエスト・フォージェリ)の話してて、フル名称で喋る人いて、噛みまくってて、不具合内容が全然入ってこないから、シーサーフでいいよって冷たいツッコミに笑ってしまったw #CSRF 2023/01/30 15:16
泰造 @bot85133610
法律事務所クロス メール 無料相談 ももクロ 遊戯王 ランキング 流出 ロゴ ログ速 笑ってはいけない ガジェット goo google 御成敗式目 住所 ダチョウ ジュニアアイドル 事務所 事務員 実績 実務 ウイルス 著作権侵害 CSRF XSRF 会計士 2023/01/30 05:58
きむそん @_kimuson
📝 SPA + WebAPI でアプリケーションを構築するときの CSRF 対策についてのメモ https://t.co/J38NCJI9xU @_kimusonより 2023/01/30 02:19
コグ @e_kogu
Fantiaがちょっと変えてきたな。CSRF対応した? 今のところは若干マニュアルな感じだから、やはりアカウント関連のところ実装しないと面倒くさいは面倒くさいんだよな~SRみたいに簡単ならいいんだけど。 2023/01/30 00:46
泰造 @bot85133610
法律事務所クロス メール 無料相談 ももクロ 遊戯王 ランキング 流出 ロゴ ログ速 笑ってはいけない ガジェット goo google 御成敗式目 住所 ダチョウ ジュニアアイドル 事務所 事務員 実績 実務 ウイルス 著作権侵害 CSRF XSRF 会計士 2023/01/29 16:58
ITゴリラBot @ITGoriraBot
クロスサイトリクエストフォージェリ(CSRF): ウェブサイトにログインした利用者からのリクエストについて、その利用者が意図したリクエストであるかどうかを識別する仕組みを持たないウェブサイトで、外部サイトを経由した悪意あるリクエストを受け入れてしまうこと。 2023/01/29 13:39
まぐ猫 @MagcatGames
PHPでアカウント管理もファイルのUL/DLもSQLite経由で出来るようになったからアップローダー作れるな〜 セキュリティ関係もCSRFとかXSSは予防出来てるはず。 次はワンタイムパスとかURL生成をやってみようかなー 2023/01/29 11:39
るいとも@WEB開発エンジニアへ転職活動中! @ruitomowoyobu
おはようございます!☀️ 本日は人に会うデー!と今月の振り返りデーです! SQLインジェクションとCSRFまで学習したら、ひとまずLaravelを主にポートフォリオ制作に移ろうと思います。 着実に進みます!💪✨ #エンジニア #プログラミング勉強中 2023/01/29 07:30
泰造 @bot85133610
法律事務所クロス メール 無料相談 ももクロ 遊戯王 ランキング 流出 ロゴ ログ速 笑ってはいけない ガジェット goo google 御成敗式目 住所 ダチョウ ジュニアアイドル 事務所 事務員 実績 実務 ウイルス 著作権侵害 CSRF XSRF 会計士 2023/01/29 03:58
須和多"ルマ(勝運不倒翁) @suvadharma
CSRF対策が公式でも自分でも出来るようになったのは状況をそうとう変えたよなぁ… レイアウトもmdファイルの読み出しもこれまでの延長なので、廉価で展開静置するまでをとにかくプレゼンのために達成してから作り込みたい。そこまでいけばサイト上でプレゼンができる。勝つ。 2023/01/28 15:10
泰造 @bot85133610
法律事務所クロス メール 無料相談 ももクロ 遊戯王 ランキング 流出 ロゴ ログ速 笑ってはいけない ガジェット goo google 御成敗式目 住所 ダチョウ ジュニアアイドル 事務所 事務員 実績 実務 ウイルス 著作権侵害 CSRF XSRF 会計士 2023/01/28 14:58
スタディルーム by rolerole @twitrolerole
午後IIもアプリ系のスキルがあると有利な問題が出題されています。 最近の傾向は以下の通りです。 令和4年春 問1:アプリ(クリックジャッキング、XSS、CSRF、SSRF対策) 令和3年春 問1:アプリ(情報共有システム、XSS対策、FIDO、CSP) #情報処理安全確保支援士 #今日の積み上げ 2023/01/28 13:16

エントロピー / エントロピーソース

コメント投稿(ログインが必要)



類似度ページランキング
順位 ページタイトル抜粋
1 CMS 57
2 CRUD 50
3 ASCII 44
4 3C 33
5 HLS 29
6 UPS 29
7 SSH 29
8 CGM 29
9 SMTP 25
10 VAST 25
11 Senna 22
12 DTC広告 22
13 MeCab 20
14 MS-DOS 20
15 DNSサーバ 20
16 Cross-Origin Resource Sharing 18
17 MACアドレス 18
18 SMTPサーバ 18
19 OpenSSH 18
20 DNSレコード 18
2023/2/01 1:14 更新
週間人気ページランキング / 1-25 → 1-31
順位 ページタイトル抜粋 アクセス数
1 (計算機科学における)クラスタリング | 開発 13
1 システムインテグレーター | 開発 13
2 プログラミング用語 12
3 構造体 | C言語(言語) 10
4 クヌース–モリス–プラット法 | 探索アルゴリズム(アルゴリズム) 6
5 C.研究分野による分類 4
5 Selenium | テスト 4
5 ASCII制御文字一覧表詳細 4
6 テスト カテゴリー 3
6 探索アルゴリズム | アルゴリズム 3
6 Headless Browsers | プログラミング 3
6 OAuth 1.0 と OAuth 2.0 の違い / 比較一覧表 3
6 Morris-Pratt algorithm | 探索アルゴリズム(アルゴリズム) 3
6 ルーター | ネットワーク 3
6 データ(ファイル)の形式 | データ形式(プログラミング) 3
6 メーラー | メール(ネットワーク) 3
6 リスト探索(list search)アルゴリズム | 探索アルゴリズム(アルゴリズム) 3
6 関数 | プログラミング 3
6 クラスメソッド | クラス(プログラミング) 3
6 アンチパターン | プログラミング 3
2023/2/1 1:01 更新