クロスサイトリクエストフォージェリ クロスサイトリクエストフォージェリの概要

Weblio 辞書 > 辞書・百科事典 > 百科事典 > クロスサイトリクエストフォージェリの解説 > クロスサイトリクエストフォージェリの概要 

クロスサイトリクエストフォージェリ

出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2023/08/05 20:59 UTC 版)

情報セキュリティ > 脆弱性・攻撃手法 > クロスサイトリクエストフォージェリ

なおCSRFの正式名称はクロスサイトスクリプティング (XSS) と似ているが、XSSは不適切な入力確認 (CWE-20) によるインジェクション (CWE-74) のひとつとして分類されており[5]、全く異なる種類の攻撃である。

CSRF脆弱性とは以下のような攻撃(CSRF攻撃)を可能にする脆弱性を指す[1]:攻撃者はブラウザなどのユーザ・クライアントを騙し、意図しないリクエスト(たとえばHTTPリクエスト)をWebサーバに送信させる。Webアプリケーションがユーザ・クライアントからのリクエストを十分検証しないで受け取るよう設計されている場合、このリクエストを正規のものとして扱ってしまい、被害が発生する。CSRF攻撃はURL[1]、画像の読み込み[1]、XMLHttpRequest[1]などを利用して実行される。

具体的被害としてはデータの漏えい[1]、意図しないコードの実行[1]、権限の取得[1]、なりすまし[1]、防御メカニズムの回避[1]、アプリケーションデータの読み取り[1]などがありうる。権限の取得が可能な場合、その被害はユーザの持つ権限に依存する。ログインしていない状態でも起こりうる主な被害としてユーザ・クライアントに電子掲示板などへ書き込みをさせる行為があり[6]、これを利用してユーザを装った犯罪予告(例:パソコン遠隔操作事件)や大量の書き込みをさせるDoS攻撃(例:「ぼくはまちちゃん」 騒動)といった事件が発生した。


注釈

  1. ^ a b c これらのHTTPリクエストやURLはOWASP英語版のサイト[3]に脆弱性の例として記載されているものを引用した。
  2. ^ 厳密に言うと、MARIAが適当に予想したtokenがたまたま本物のtokenと一致して攻撃が成功してしまう場合がある。これを防ぐためtokenとしてエントロピーが十分に大きいものを使う必要がある。
  3. ^ a b これらもOWASP英語版のサイト[3]に記載されている偽装工作の例を参考にして作成。

出典

  1. ^ a b c d e f g h i j k CWE-352 2011.
  2. ^ Shiflett, Chris (2004年12月13日). “Security Corner: Cross-Site Request Forgeries”. php|architect (via shiflett.org). 2008年7月3日閲覧。
  3. ^ a b c d OWASP 2016.
  4. ^ IPA 2014.
  5. ^ a b 共通脆弱性タイプ一覧CWE概説。IPA。2016/9/15閲覧
  6. ^ トレンドマイクロ セキュリティ情報 脅威と対策 「クロスサイトリクエストフォージェリ(CSRF)」
  7. ^ 金床 2009.
  8. ^ 徳丸 2011, p. 159,165-166.
  9. ^ 「ぼくはまちちゃん」 ――知られざるCSRF攻撃 - @IT
  10. ^ URL踏むと「こんにちは こんにちは!!」 AmebaなうのCSRF脆弱性で“意図しない投稿”広がる ITmedia
  11. ^ 神奈川県警幹部、誤認逮捕を謝罪…少年宅を訪問 2012年10月20日22時31分 読売新聞


「クロスサイトリクエストフォージェリ」の続きの解説一覧



英和和英テキスト翻訳>> Weblio翻訳
英語⇒日本語日本語⇒英語
  

辞書ショートカット

すべての辞書の索引

「クロスサイトリクエストフォージェリ」の関連用語

クロスサイトリクエストフォージェリのお隣キーワード
検索ランキング

   

英語⇒日本語
日本語⇒英語
   



クロスサイトリクエストフォージェリのページの著作権
Weblio 辞書 情報提供元は 参加元一覧 にて確認できます。

   
ウィキペディアウィキペディア
All text is available under the terms of the GNU Free Documentation License.
この記事は、ウィキペディアのクロスサイトリクエストフォージェリ (改訂履歴)の記事を複製、再配布したものにあたり、GNU Free Documentation Licenseというライセンスの下で提供されています。 Weblio辞書に掲載されているウィキペディアの記事も、全てGNU Free Documentation Licenseの元に提供されております。

©2024 GRAS Group, Inc.RSS