PHP用語集 |
 
|
CSRF クロスサイト・リクエスト・フォージェリー
【英】 Cross Site Request Forgeries
WebサイトにスクリプトやHTTPリダイレクトを仕込むことで、閲覧者が意図していない行動を別のWebページ上で実行させる攻撃方法。Cross Site Request Forgeriesの略。攻撃者が正規ユーザーのセッション情報などを悪用して、望まない処理をさせる攻撃手法のこと。
クロスサイトスクリプティング、SQLインジェクションと並んで、Webアプリケーションの多くが有するセキュリティ脆弱性の一つ。
関連用語
IT用語辞典バイナリ |
|
CSRF
読み方:シーエスアールエフ
別名:クロスサイトリクエストフォージェリ
CSRFとは、Webサイトの攻撃手法の一種で、悪意のあるスクリプトやURLにアクセスさせることで、意図しないWebサイト上の操作を行わせる手法である。
他のWebサイト攻撃手法であるXSS(Cross Site Scripting)などとは異なり、正規ユーザが本来想定されている操作を行ったかのようにリクエストを発生させることができる(リクエストの偽造:Request Forgery)。CSRFによる代表的な被害としては、掲示板への意図しない書き込みや、ショッピングサイトで買うつもりの無い商品を買ってしまうといったものがある。
CSRFを防ぐための対策としては、リクエストが正しい画面遷移を経て送信されているかをチェックしたり、リクエストを受け付ける前に確認画面をはさむといった方法がある。前者の方法では、画面を識別するために外部からは予測不可能な使い捨てIDを発行し画面遷移をチェックしたり、簡易にはリファラ情報を照合するなどの手法が用いられる。後者の方法では、確認画面で再度パスワードを入力させたり、CAPTCHAと呼ばれる画像として表示した文字をユーザに判読させ入力させるなどの手法が用いられる。
参照リンク
「ぼくはまちちゃん」――知られざるCSRF攻撃 - @IT Security&Trust ウォッチ(33)
開発者のための正しいCSRF対策
| ネットワーク攻撃: | Apache Killer 悪魔の双子 エクスプロイトキット CSRF C&Cサーバー DDoS DoS攻撃 |
ウィキペディア |
|
クロスサイトリクエストフォージェリ
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2011/08/28 15:30 UTC 版)
(CSRF から転送)
クロスサイトリクエストフォージェリ(Cross site request forgeries, 略記:CSRF,またはXSRF)とは、WWW における攻撃手法の一つ。- 1 クロスサイトリクエストフォージェリとは
- 2 クロスサイトリクエストフォージェリの概要
- 3 「ぼくはまちちゃん」騒動
CSRFに関係した商品
