テクノロジ系 / セキュリティ
CSRF
CSRFは、ログイン済み利用者に意図しないリクエストを送らせ、本人の操作に見せかけて処理を実行させる攻撃です。
もう少し詳しく
CSRFでは、攻撃者が用意したページやリンクを利用者に開かせ、利用者のブラウザに保存されているCookieなどを使って、正規サイトへ不正なリクエストを送らせます。利用者本人がログイン中であることを悪用するため、単にパスワードを盗む攻撃ではありません。XSSがサイト内でスクリプトを実行させる攻撃であるのに対し、CSRFは外部から正規サイトへ意図しない操作を送らせる点が特徴です。
試験での見方
例:ログイン中の利用者が攻撃者のページを開いた結果、本人が操作した覚えのないパスワード変更や送金依頼が正規サイトへ送信される、という形がCSRFです。
FEでは、CSRF対策としてトークンの埋込みと検証、SameSite属性、重要操作での再認証などが問われます。入力値のエスケープは主にXSS対策、プレースホルダはSQLインジェクション対策なので混同しないようにします。