本文へスキップ
お問い合わせ

テクノロジ系 / セキュリティ

クロスサイトリクエストフォージェリ

クロスサイトリクエストフォージェリは、ログイン済み利用者に意図しないリクエストを送らせる攻撃です。

別名・関連表記:CSRF

もう少し詳しく

CSRFでは、攻撃者が用意したページやリンクを踏ませ、利用者がログイン中のWebサービスに対して、本人の操作に見えるリクエストを送らせます。XSSがスクリプトを実行させる攻撃であるのに対し、CSRFは利用者の認証済み状態を悪用してリクエストを偽造する点が特徴です。対策にはCSRFトークン、Referer確認、重要操作時の再認証があります。

試験での見方

黒猫の闇の刻印

「ログイン済み利用者に勝手に送信させる」「CSRFトークン」が出たらCSRFです。ブラウザで不正スクリプトを動かすXSSとは分けます。

利用者が攻撃ページを開いただけで、ログイン中の通販サイトに配送先変更リクエストが送られます。

分類

テクノロジ系 / 技術要素 / セキュリティ

小分類:情報セキュリティ

関連トピック:攻撃手法

情報の根拠

IPA FEシラバス Ver.9.2 の用語例をもとに、試験対策向けに独自解説しています。

試験要綱 Ver.5.5 FEシラバス Ver.9.2

関連用語

DNS キャッシュポイズニング IP スプーフィング OS コマンドインジェクション SQLインジェクション セッションハイジャック

セキュリティの用語一覧へ

科目Aの問題演習に戻る 科目Bの問題演習に戻る 基本情報 用語集トップ 基本情報トップ