CSRFとは?

Weblio 辞書 > コンピュータ > PHP用語 > CSRFの意味・解説 

CSRF

フルスペル:Cross Site Request Forgery
読み方シーエスアールエフ
別名:クロスサイトリクエストフォージェリ

CSRFとは、Webサイト攻撃手法一種で、悪意のあるスクリプトURLアクセスさせることで、意図しないWebサイト上の操作を行わせる手法である。

他のWebサイト攻撃手法であるXSSCross Site Scripting)などとは異なり正規ユーザが本来想定されている操作を行ったかのようにリクエスト発生させることができる(リクエスト偽造Request Forgery)。CSRFによる代表的被害としては、掲示板への意図しない書き込みや、ショッピングサイトで買うつもりの無い商品を買ってしまうといったものがある

CSRFを防ぐための対策としては、リクエスト正し画面遷移経て送信されているかをチェックしたり、リクエスト受け付け前に確認画面をはさむといった方法がある。前者方法では、画面識別するために外部からは予測不可能使い捨てID発行画面遷移チェックしたり、簡易にはリファラ情報照合するなどの手法が用いられる。後者方法では、確認画面再度パスワード入力させたり、CAPTCHA呼ばれる画像として表示した文字ユーザ判読させ入力させるなどの手法が用いられる。


参照リンク
「ぼくはまちちゃん」――知られざるCSRF攻撃 - @IT Security&Trust ウォッチ(33
開発者のための正しいCSRF対策
セキュリティのほかの用語一覧
ネットワーク攻撃:  Apache Killer  悪魔の双子  エクスプロイトキット  CSRF  C&Cサーバー  DDoS  DoS攻撃

クロスサイトリクエストフォージェリ

(CSRF から転送)

出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2020/01/24 19:06 UTC 版)

クロスサイトリクエストフォージェリ (cross-site request forgeries) は、Webアプリケーション脆弱性の一つ[1]もしくはそれを利用した攻撃。略称はCSRF(シーサーフ (sea-surf) と読まれる事もある[2][3])、またはXSRFリクエスト強要[4]セッションライディング (session riding[3]) とも呼ばれる。1990年代はイメタグ攻撃とも呼ばれていた[要出典]。脆弱性をツリー型に分類するCWEではCSRFをデータ認証の不十分な検証 (CWE-345) による脆弱性のひとつとして分類している (CWE-352)[5]




  1. ^ a b c d e f g h i j k CWE-352 2011.
  2. ^ Shiflett, Chris (2004年12月13日). “Security Corner: Cross-Site Request Forgeries”. php|architect (via shiflett.org). 2008年7月3日閲覧。
  3. ^ a b c d OWASP 2016.
  4. ^ IPA 2014.
  5. ^ a b 共通脆弱性タイプ一覧CWE概説。IPA。2016/9/15閲覧
  6. ^ トレンドマイクロ セキュリティ情報 脅威と対策 「クロスサイトリクエストフォージェリ(CSRF)」
  7. ^ a b c これらのHTTPリクエストやURLはOWASP英語版のサイト[3]に脆弱性の例として記載されているものを引用した。
  8. ^ 金床 2009.
  9. ^ 徳丸 2011, p. 159,165-166.
  10. ^ 厳密に言うと、MARIAが適当に予想したセッションIDがたまたま本物のセッションIDと一致して攻撃が成功してしまう場合がある。これを防ぐためセッションIDとしてエントロピーが十分に大きいものを使う必要がある。
  11. ^ a b これらもOWASP英語版のサイト[3]に記載されている偽装工作の例を参考にして作成。
  12. ^ 「ぼくはまちちゃん」 ――知られざるCSRF攻撃 - @IT
  13. ^ URL踏むと「こんにちは こんにちは!!」 AmebaなうのCSRF脆弱性で“意図しない投稿”広がる ITmedia
  14. ^ 神奈川県警幹部、誤認逮捕を謝罪…少年宅を訪問 2012年10月20日22時31分 読売新聞


「クロスサイトリクエストフォージェリ」の続きの解説一覧


英和和英テキスト翻訳>> Weblio翻訳
英語⇒日本語日本語⇒英語
  

辞書ショートカット

すべての辞書の索引

「CSRF」の関連用語

CSRFのお隣キーワード

   

英語⇒日本語
日本語⇒英語
   
検索ランキング



CSRFのページの著作権
Weblio 辞書情報提供元は参加元一覧にて確認できます。

  
PHPプロ!PHPプロ!
©COPYRIGHT ASIAL CORPORATION ALL RIGHTS RESERVED.
IT用語辞典バイナリIT用語辞典バイナリ
Copyright © 2005-2020 Weblio 辞書 IT用語辞典バイナリさくいん。 この記事は、IT用語辞典バイナリCSRFの記事を利用しております。
ウィキペディアウィキペディア
All text is available under the terms of the GNU Free Documentation License.
この記事は、ウィキペディアのクロスサイトリクエストフォージェリ (改訂履歴)の記事を複製、再配布したものにあたり、GNU Free Documentation Licenseというライセンスの下で提供されています。 Weblio辞書に掲載されているウィキペディアの記事も、全てGNU Free Documentation Licenseの元に提供されております。

©2020 Weblio RSS