CSRF
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
*CSRF とは [#pa7e78a4]
**名称 [#t4b66b62]
-Cross-Site Request Forgeries
-クロスサイトリクエストフォージェリ
-XSRF
**概要 [#m3e4fea3]
-Webサイトの[[ユーザ認証]]や[[セッション]]管理の[[脆弱性]...
-攻撃者が用意したサイトから不正な[[HTTP]]リクエストを送信...
-不正な処理は、サーバ側で実行される。(クライアント側で実...
*攻撃の仕組み [#k9128732]
-form要素のaction属性に、他のサイトのドメインを指定する。
-form要素のsubmitが、action属性にクロスドメインが指定され...
-ユーザが意図しないformの送信が行われる。
*対策 [#b435cb9e]
**攻撃を防ぐ方法 [#qaff864a]
-ログイン後、HTTPレスポンスに毎回異なる値を含めて、HTTPリ...
--POSTメソッドの[[hidden]]に秘密情報(ランダム値など)を挿...
-HTTP[[リファラ]]を確認して画面遷移の正当性(正しいリンク...
--クライアントの設定でHTTP[[リファラ]]を送信しないように...
-重要な操作や確定処理を行なう際に、[[パスワード]]の再入力...
-[[Captcha]]を利用する。
**攻撃があったことをユーザに気づかせる方法 [#i2d6da92]
-重要な操作があったことをメールで通知する
*関連サイト [#k94ae98f]
-CWE-352: Cross-Site Request Forgery (CSRF)~
https://cwe.mitre.org/data/definitions/352.html
*関連用語 [#b55bf0d7]
-[[セキュリティ]]
-[[不正アクセス]]
-[[XSS]] -クロスサイトスクリプティング
-CSRFトークン
-[[クッキーモンスターバグ]]
-[[乱数]]
-[[OAuth2.0]]
-[[OpenID Connect]]
終了行:
*CSRF とは [#pa7e78a4]
**名称 [#t4b66b62]
-Cross-Site Request Forgeries
-クロスサイトリクエストフォージェリ
-XSRF
**概要 [#m3e4fea3]
-Webサイトの[[ユーザ認証]]や[[セッション]]管理の[[脆弱性]...
-攻撃者が用意したサイトから不正な[[HTTP]]リクエストを送信...
-不正な処理は、サーバ側で実行される。(クライアント側で実...
*攻撃の仕組み [#k9128732]
-form要素のaction属性に、他のサイトのドメインを指定する。
-form要素のsubmitが、action属性にクロスドメインが指定され...
-ユーザが意図しないformの送信が行われる。
*対策 [#b435cb9e]
**攻撃を防ぐ方法 [#qaff864a]
-ログイン後、HTTPレスポンスに毎回異なる値を含めて、HTTPリ...
--POSTメソッドの[[hidden]]に秘密情報(ランダム値など)を挿...
-HTTP[[リファラ]]を確認して画面遷移の正当性(正しいリンク...
--クライアントの設定でHTTP[[リファラ]]を送信しないように...
-重要な操作や確定処理を行なう際に、[[パスワード]]の再入力...
-[[Captcha]]を利用する。
**攻撃があったことをユーザに気づかせる方法 [#i2d6da92]
-重要な操作があったことをメールで通知する
*関連サイト [#k94ae98f]
-CWE-352: Cross-Site Request Forgery (CSRF)~
https://cwe.mitre.org/data/definitions/352.html
*関連用語 [#b55bf0d7]
-[[セキュリティ]]
-[[不正アクセス]]
-[[XSS]] -クロスサイトスクリプティング
-CSRFトークン
-[[クッキーモンスターバグ]]
-[[乱数]]
-[[OAuth2.0]]
-[[OpenID Connect]]
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
