![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2020-12-28T01:53:06+00:00","default:yusami","yusami") #author("2021-07-23T11:12:29+00:00","default:hotate","hotate") #contents &tag(用語, セキュリティ); &tag(セキュリティ); * 情報 [#ld701903] - [[第3回 Webセキュリティのおさらい その3 CSRF・オープンリダイレクト・クリックジャッキング:JavaScriptセキュリティの基礎知識|gihyo.jp … 技術評論社>http://gihyo.jp/dev/serial/01/javascript-security/0003]] CSRFとは,たとえば掲示板の書き込みや設定情報の変更などの機能に対して,攻撃者のサイト上に設置されたフォームなどから強制的にリクエストを発行することで,ユーザーの意図していない操作と同様の結果をもたらす攻撃手法です。対策としては,攻撃者が知りえない値をリクエスト内に埋め込む,すなわち - フォーム内にhiddenを用いてトークンを埋め込む - サーバ側でリクエストを受け取ったときに,そのトークンを確認する という方法がもっとも広く使われています。 - [[情報処理推進機構:情報セキュリティ:3. CSRF (クロスサイト・リクエスト・フォージェリ)>https://www.ipa.go.jp/security/vuln/vuln_contents/csrf.html]] 「ログインしていることが前提となっている攻撃方法のため、ユーザの権限でできる範囲の操作が攻撃者に実行させられてしまいます。」 - [[第2回 意図しない操作をさせられる「クロスサイト・リクエスト・フォージェリ」 | 日経 xTECH(クロステック)>https://tech.nikkeibp.co.jp/it/article/COLUMN/20080221/294368/]] この際,クライアントにひも付けたランダムな値を,クッキーで管理してはいけない。クッキーはブラウザによって自動的に送信されるから,この対策は意味を持たない。 * 関連 [#k7155439] #related - [[オープンリダイレクト]]
