コンテンツ
- 定義-クロスサイトリクエストフォージェリ(CSRF)とはどういう意味ですか?
- Microsoft AzureとMicrosoft Cloudの紹介|このガイドを通して、クラウドコンピューティングとは何か、Microsoft Azureを使用してクラウドからビジネスを移行および実行する方法を学習します。
- Techopediaはクロスサイトリクエストフォージェリ(CSRF)について説明します
定義-クロスサイトリクエストフォージェリ(CSRF)とはどういう意味ですか?
クロスサイトリクエストフォージェリ(CSRF)は、信頼できるWebサイトユーザーから不正なコマンドを発行することにより実行されるWebサイトの悪用の一種です。 CSRFは、ウェブサイトに対するユーザーの信頼を悪用するクロスサイトスクリプティングとは対照的に、特定のユーザーのブラウザーに対するウェブサイトの信頼を悪用します。
この用語は、セッションライディングまたはワンクリック攻撃とも呼ばれます。
Microsoft AzureとMicrosoft Cloudの紹介|このガイドを通して、クラウドコンピューティングとは何か、Microsoft Azureを使用してクラウドからビジネスを移行および実行する方法を学習します。
Techopediaはクロスサイトリクエストフォージェリ(CSRF)について説明します
CSRFは通常、ブラウザの「GET」コマンドをエクスプロイトポイントとして使用します。 CSR偽造者は、「IMG」などのHTMLタグを使用して、特定のWebサイトにコマンドを挿入します。そのWebサイトの特定のユーザーは、ホストおよび無意識の共犯者として使用されます。正当なユーザーがコマンドを実行しているため、多くの場合、Webサイトは攻撃を受けていることを知りません。攻撃者は、別のアカウントに資金を移動する要求を発行するか、さらに資金を引き出すか、PayPalや同様のサイトの場合は別のアカウントに資金を要求します。
CSRF攻撃は、成功するために多くのことが発生する必要があるため、実行が困難です。
- 攻撃者は、リファラーヘッダーをチェックしないWebサイト(これが一般的)、またはリファラースプーフィングを許可するブラウザーまたはプラグインのバグ(まれ)を使用してユーザー/被害者を標的にする必要があります。
- 攻撃者は、標的のWebサイトで送信されたフォームを見つける必要があります。これには、被害者のアドレスのログイン資格情報の変更や送金のようなものが必要です。
- 攻撃者は、すべてのフォームまたはURL入力の正しい値を決定する必要があります。攻撃者が正確に推測できない秘密の値またはIDが必要な場合、攻撃は失敗します。
- 攻撃者は、標的となるサイトに被害者がログインしている間に、悪意のあるコードを含むWebページにユーザー/被害者を誘導する必要があります。
たとえば、人物Aがチャットルームにいる間に銀行口座を閲覧しているとします。チャットルームに攻撃者(個人B)がいて、個人Aもbank.comにログインしていることを知っています。人Bは人Aを誘って、面白い画像のリンクをクリックします。 「IMG」タグにはbank.comのフォーム入力の値が含まれます。これにより、特定の金額が個人Aのアカウントから個人Bのアカウントに効率的に転送されます。 bank.comに資金が送金される前に個人Aの2次認証がない場合、攻撃は成功します。