目次:
定義-クロスサイトリクエストフォージェリ(CSRF)とはどういう意味ですか?
クロスサイトリクエストフォージェリ(CSRF)は、信頼できるWebサイトユーザーから不正なコマンドを発行することにより実行されるWebサイトの悪用の一種です。 CSRFは、ウェブサイトに対するユーザーの信頼を悪用するクロスサイトスクリプティングとは対照的に、特定のユーザーのブラウザーに対するウェブサイトの信頼を悪用します。
この用語は、セッションライディングまたはワンクリック攻撃とも呼ばれます。
Techopediaは、クロスサイトリクエストフォージェリ(CSRF)について説明します
CSRFは通常、ブラウザの「GET」コマンドをエクスプロイトポイントとして使用します。 CSR偽造者は、「IMG」などのHTMLタグを使用して、特定のWebサイトにコマンドを挿入します。 そのWebサイトの特定のユーザーは、ホストおよび無意識の共犯者として使用されます。 正当なユーザーがコマンドを送信しているため、多くの場合、Webサイトは攻撃を受けていることを知りません。 攻撃者は、別のアカウントに資金を移動するリクエストを発行するか、さらに資金を引き出すか、PayPalや同様のサイトの場合は別のアカウントにお金を送信することができます。
CSRF攻撃は、成功するために多くのことが発生する必要があるため、実行が困難です。
- 攻撃者は、リファラーヘッダーをチェックしないWebサイト(一般的)またはリファラースプーフィングを許可するブラウザーまたはプラグインバグ(まれ)でユーザー/被害者を標的にする必要があります。
- 攻撃者は、ターゲットWebサイトで送信されたフォームを見つける必要があります。これには、被害者の電子メールアドレスのログイン資格情報の変更や送金のようなものが必要です。
- 攻撃者は、フォームまたはURLのすべての入力に対して正しい値を決定する必要があります。 攻撃者が正確に推測できない秘密の値またはIDが必要な場合、攻撃は失敗します。
- 攻撃者は、被害者が標的サイトにログインしている間に、悪意のあるコードを含むWebページにユーザー/被害者を誘導する必要があります。
たとえば、人物Aがチャットルームで銀行口座を閲覧しているとします。 チャットルームに攻撃者(個人B)がいて、個人Aもbank.comにログインしていることを知っています。 人Bは人Aを誘い、リンクをクリックして面白い画像を探します。 「IMG」タグにはbank.comのフォーム入力の値が含まれます。これにより、特定の金額が個人Aのアカウントから個人Bのアカウントに効果的に転送されます。 bank.comが資金が転送される前に個人Aの2次認証を持たない場合、攻撃は成功します。
