認証中級
CSRF
csrf
一言で言うと
ログイン中の利用者に意図しない操作を実行させる攻撃。
もう少し詳しく
一言で言うと
攻撃者が用意した罠サイトなどを通じて、ログイン済み利用者のブラウザから意図しないリクエストを正規サービスへ送信させる攻撃。Cookie に紐付いたセッションが自動送信される仕組みを悪用する。
もう少し詳しく
攻撃者が用意した罠サイトなどを通じて、ログイン済み利用者のブラウザから意図しないリクエストを正規サービスへ送信させる攻撃。Cookie に紐付いたセッションが自動送信される仕組みを悪用する。IT エンジニアリングの現場で頻繁に登場する概念のひとつで、関連する仕組みやベストプラクティスと合わせて理解しておくと応用が利きます。
セキュアなアプリ運用には欠かせない概念です。誤った実装は情報漏洩につながるため、セッション管理・トークン発行・SameSite Cookie 属性・CSRFトークン・Origin ヘッダー検証といった周辺技術と合わせて押さえておきましょう。
実務でどう使うか
関連する章
Ch124 で詳しく学べます。