Home » » クロスサイトリクエストフォージェリとは何ですか?

クロスサイトリクエストフォージェリとは何ですか?

CSRFまたはクロスサイトリクエストフォージェリは、攻撃者が別のWebサイトでの被害者のセッションでアクションを発生させる可能性があるWebサイトの脆弱性です。CSRFを非常にリスクの高いものにしていることの1つは、ユーザーの操作さえ必要としないことです。必要なのは、被害者がエクスプロイトを含むWebページを表示することだけです。

ヒント:CSRFは通常、文字ごとまたは「シーサーフ」と発音されます。

CSRF攻撃はどのように機能しますか?

攻撃には、攻撃者が別のWebサイトで要求を行う方法を持つWebサイトを作成することが含まれます。これには、ボタンを押すなどのユーザーインタラクションが必要になる場合がありますが、インタラクションがない場合もあります。JavaScriptには、アクションを自動的に発生させる方法があります。たとえば、0 x 0ピクセルの画像はユーザーには表示されませんが、その「src」が別のWebサイトにリクエストを送信するように構成できます。

JavaScriptはクライアント側の言語です。つまり、JavaScriptコードはWebサーバーではなくブラウザーで実行されます。この事実のおかげで、CSRFリクエストを行うコンピューターは実際には被害者のコンピューターです。残念ながら、これは、ユーザーが持っているすべての権限でリクエストが行われることを意味します。攻撃しているWebサイトが被害者をだましてCSRFリクエストを作成すると、そのリクエストは、通常のリクエストを行っているユーザーと本質的に区別できなくなります。

CSRFは、Webブラウザーに対する「混乱した副攻撃」の例です。ブラウザーは、攻撃者によってそれらの特権を持たない攻撃者によってその許可を使用するようにだまされます。これらのアクセス許可は、ターゲットWebサイトへのセッションおよび認証トークンです。お使いのブラウザは、リクエストにこれらの詳細を自動的に含めます。

CSRF攻撃は、調整がやや複雑です。まず、ターゲットWebサイトには、アカウントの削除などの副作用があるフォームまたはURLが必要です。次に、攻撃者は目的のアクションを実行するためのリクエストを作成する必要があります。最後に、攻撃者は、標的のWebサイトにサインインしているときに、被害者にエクスプロイトを含むWebページをロードさせる必要があります。

CSRFの問題を防ぐためにできる最善のことは、CSRFトークンを含めることです。CSRFトークンは、Cookieとして設定されるランダムに生成された文字列であり、値を含むリクエストヘッダーとともに、すべての応答に値を含める必要があります。CSRF攻撃にはCookieを含めることができますが、ヘッダーを設定するためにCSRFトークンの値を決定する方法がないため、攻撃は拒否されます。


Leave a Comment

Google Chrome に常に完全な URL を表示させる方法

Google Chrome に常に完全な URL を表示させる方法

Chrome では、デフォルトでは完全な URL が表示されません。この詳細はあまり気にしないかもしれませんが、何らかの理由で完全な URL を表示する必要がある場合は、Google Chrome でアドレス バーに完全な URL を表示する方法の詳細な手順をご覧ください。

古いRedditを取り戻す方法

古いRedditを取り戻す方法

Reddit は 2024 年 1 月に再びデザインを変更しました。再デザインはデスクトップ ブラウザ ユーザーに表示され、リンクを提供しながらメイン フィードを絞り込みます。

Googleレンズを使って教科書のコンテンツをコピーする方法

Googleレンズを使って教科書のコンテンツをコピーする方法

本からお気に入りの引用を Facebook に入力するのは時間がかかり、間違いも多いです。Google レンズを使用して書籍からデバイスにテキストをコピーする方法を学びます。

ChromeでサーバーDNSアドレスが見つからない問題を修正

ChromeでサーバーDNSアドレスが見つからない問題を修正

Chrome で作業しているときに、特定の Web サイトにアクセスできず、「Fix Server DNS アドレスが Chrome で見つかりませんでした」というエラーが表示されることがあります。この問題を解決する方法は次のとおりです。

Google Homeでリマインダーを作成する方法に関するクイックガイド

Google Homeでリマインダーを作成する方法に関するクイックガイド

リマインダーは常に Google Home の大きなハイライトでした。彼らは確かに私たちの生活を楽にしてくれます。重要な用事を見逃さないように、Google Home でリマインダーを作成する方法を簡単に説明します。

Netflix: パスワードを変更する

Netflix: パスワードを変更する

好みのブラウザまたは Android アプリを使用して、Netflix ストリーミング ビデオ サービスのパスワードを変更する方法。

Chromebook で検索履歴と閲覧履歴を削除する方法

Chromebook で検索履歴と閲覧履歴を削除する方法

ブラウザの履歴を削除すると、特に共有または公開の Chromebook を使用している場合、閲覧アクティビティの機密性を保つことができます。このチュートリアルでは、個人、職場、学校の Chromebook でブラウザ履歴を削除する手順について説明します。

Googleスプレッドシートで行と列を入れ替える方法

Googleスプレッドシートで行と列を入れ替える方法

スプレッドシートを設定した後で、別のレイアウトの方がうまく機能することに気づいたことがありますか。Google スプレッドシートでは、行を列に、またはその逆に簡単に変換して、データを自由に表示できます。

最も人気のあるビデオ ゲーム ジャンル 7

最も人気のあるビデオ ゲーム ジャンル 7

誕生以来、ゲーマーが楽しめるようにさまざまなスタイルのビデオ ゲームが作成されてきました。アクション指向のもの、頭を使ってパズルを解いたり戦略を立てたいもの、またはカジュアルなゲームプレイでリラックスしたものなど、誰もが楽しくプレイできるものがそこにはあります。

Facebookメッセンジャーの通知が消えない?それを修正する8つの方法

Facebookメッセンジャーの通知が消えない?それを修正する8つの方法

Facebook Messenger の通知は、未読のメッセージをすべて読み終え​​ると消えるはずです。ただし、通知が引き続き表示され、何をしても消えない場合は、問題を解決するために適用できる解決策がいくつかあります。