クロスサイトリクエストフォージェリ の履歴(No.4)

• 履歴一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• クロスサイトリクエストフォージェリ へ行く。
  • 1 (2018-08-11 (土) 20:05:55)
  • 2 (2018-08-22 (水) 06:12:51)
  • 3 (2018-10-10 (水) 21:32:31)
  • 4 (2018-10-11 (木) 21:50:21)
  • 5 (2020-12-28 (月) 10:53:06)

Tag: 用語 セキュリティ

情報†

• 第3回　Webセキュリティのおさらい その3 CSRF・オープンリダイレクト・クリックジャッキング：JavaScriptセキュリティの基礎知識｜gihyo.jp … 技術評論社

  CSRFとは，たとえば掲示板の書き込みや設定情報の変更などの機能に対して，攻撃者のサイト上に設置された
  フォームなどから強制的にリクエストを発行することで，ユーザーの意図していない操作と同様の結果をもたらす
  攻撃手法です。
  対策としては，攻撃者が知りえない値をリクエスト内に埋め込む，すなわち
  - フォーム内にhiddenを用いてトークンを埋め込む
  - サーバ側でリクエストを受け取ったときに，そのトークンを確認する
  という方法がもっとも広く使われています。

• 情報処理推進機構：情報セキュリティ：3. CSRF (クロスサイト・リクエスト・フォージェリ)

  「ログインしていることが前提となっている攻撃方法のため、ユーザの権限でできる範囲の操作が攻撃者に実行させられてしまいます。」

• 第2回　意図しない操作をさせられる「クロスサイト・リクエスト・フォージェリ」 | 日経 xTECH（クロステック）

  この際，クライアントにひも付けたランダムな値を，クッキーで管理してはいけない。クッキーはブラウザによって
  自動的に送信されるから，この対策は意味を持たない。

関連†

• Jenkins
• オープンリダイレクト
• クッキーモンスター問題

• オープンリダイレクト