PHPでウェブの世界と繋がろう!
menu
ホーム > IT用語集 > CSRF(クロスサイトリクエストフォージェリ)

CSRF(クロスサイトリクエストフォージェリ)

Pocket

  • CSRFとは、攻撃者が他のユーザーからのHTTPリクエストを捏造して攻撃に利用する手法

CSRFとは、【Cross site request forgeries:クロス・サイト・リクエスト・フォージェリ】の略称で、Webサイトを攻撃する方法の1つです。攻撃者が他のユーザーからのHTTPリクエスト(WebブラウザからWebサーバへリクエストするデータ送信)を捏造して攻撃に利用します。

捏造されたHTTPリクエストによって、Webサーバーへのリクエストが攻撃者からではなく、他の犠牲者から送信されることとなり、犠牲者は意図しない処理を実行させられます。具体的な例として、掲示板に意図しない書き込みをさせられたり、オンラインショップで買い物をさせられたりなどの被害が起こります。

このような攻撃を防ぐには、Webサイトの入力フォームにワンタイムトークンを含め、Webアプリケーションのフォームの使用を強制することです。入力フォームにはGETの替わりにPOSTを使用することでも攻撃を軽減できるでしょう。例えば、掲示板であれば、投稿者が掲示板に書き込む際、掲示板自身の入力フォームから投稿させるように強制することです。Webアプリケーション自身のフォーム以外からの値を受け入れてはいけません。


タグ(=記事関連ワード)

タグ:

日付

投稿日:2015年1月18日
最終更新日:2015年07月01日

関連記事

このカテゴリの他のページ

この記事へのコメント

トラックバックurl

http://www.tryphp.net/itglossary-csrf/trackback/