住所:HTTPS://baike.baidu.com/item/%E8%B7%A8%E7%AB%99%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0 / 13777878?FR =アラジン
タイトル:クロスサイトリクエストフォージェリ
(英語:クロスサイトリクエストフォージェリ)クロスサイトリクエストフォージェリ、また、ワンクリックでの攻撃やセッションの乗馬として知られているが、多くの場合、CSRFまたはXSRF、意図しないハイジャックと略記現在ログインしているWebアプリケーションでユーザーが実行攻撃操作。クロスサイトスクリプティング(XSS)に比べて、XSSは、ユーザーがサイトを指定した信頼関係を悪用し、CSRFは信頼にWebサイトのユーザーのWebブラウザを利用します。
クロスサイトリクエスト攻撃、簡単に言えば、電子メール、メッセージング、およびそのようなプロパティの転送なども、操作や商品の購入など、いくつかの操作を(彼らが認定されているウェブサイトにアクセスし、実行するために、ユーザのブラウザを欺くためにいくつかの技術的手段を通じて攻撃者があります)。ブラウザが認定されているので、アクセスされたサイトは、と思うのでアクションが逃げて本当のユーザーです。ユーザ認証の脆弱性におけるウェブの使用は:簡単な認証が唯一の保証要求は、ユーザーのブラウザから送信されたことができますが、要求自体が自発的にユーザーによって送信されることを保証することはできません。
例
HTTP :? //Www.examplebank.com/withdrawアカウント= AccoutName&量= 1000&= PayeeNameのために次のように銀行振込のURLアドレスは、操作を実行する場合
まあ、悪意のある攻撃者は、別のサイトに次のコードを配置できます。<IMG SRC =「http://www.examplebank.com/withdraw?account=Alice&amount=1000&for=Badman」>
あなたはアリスという名前のユーザーのアカウントをお持ちの場合は、悪質なサイトを訪問し、彼女はちょうどログイン情報がまだ満了していない前に、その後、彼女は1000年の資金を失うことになるすぐに銀行を訪れていました。
この悪質なウェブサイトは、Webページで非表示にするには、多くの場所で、多くの形態をとることができます。また、攻撃者が悪質なWebサイトのURLの配置を制御する必要はありません。例えば、彼はこのフォーラムに隠された、ブログやその他の対処できる
ユーザー生成コンテンツ
サイト。この手段サーバーは、ユーザーが使い慣れた信頼済みサイトが攻撃の危険にさらされてもされているアクセスしても、適切な防衛策ではない場合に。
例としては、透けて見えることができ、攻撃者は直接ユーザーに関する直接的な情報を盗むことができないユーザーアカウントを制御するためにCSRFを攻撃することはできません。彼らはそれには、ユーザーのブラウザを欺くの操作を実行しているユーザーの名前を聞かせすること、行うことができます。
リファラーフィールドをチェック
AリファラーHTTPヘッダフィールドは、このフィールドは、アドレスからの要求を指示します。機密データのリクエストを処理する場合、一般的に言って、リファラー要求とアドレスフィールドには、同じドメイン内にある必要があります。ウェブアドレス転送ボタンが配置されている銀行の業務の上には、例えば、リファラーフィールドアドレスは通常、それはwww.examplebank.comの下に配置する必要がありますする必要があります。要求はCSRF攻撃から来ている場合は、リファラーのフィールドは、悪意のあるWebサイトのアドレスが含まれていますwww.examplebank.comの下に位置していない、この時点では、サーバーは、悪質なアクセスを識別することができます。
このアプローチは、単純な、低負荷、唯一の場所で重要な段階認証プロセスへのアクセスを増やす必要があります。しかし、このアプローチは、理由のブラウザに完全に依存して正しいのRefererフィールドを送信しての、その制限があります。このフィールドの内容のhttpプロトコルが明確に定義されていますが、訪問ブラウザの実現を保証するものではありませんが、また、ブラウザにはセキュリティの脆弱性は、この分野に影響を与えないことを保証することはできません。そして、彼らのRefererフィールドを改ざん、一部のブラウザの攻撃があるかもしれません。
検証トークン追加
その後、CSRF攻撃者がユーザーのブラウザを提供するために必要なアクセス機密データリクエストがクッキーに保存されず、攻撃者がチェックとしてデータを偽造することはできませんので、もし、自分のアクセスアドレスを設定するには、ユーザーをだましていることの性質上、攻撃のために人はもはやCSRF攻撃を実行することはできません。そのようなデータは、データ入力フォームに典型的です。生成してフォームに追加し、サーバの内容は、擬似乱数です。クライアントは、フォームを介して要求を送信すると、擬似乱数は、検証用に提出することができます。場合は通常のアクセス、クライアントのブラウザは修正して、擬似乱数に戻って取得し、CSRFは学校のために、サーバーがするこの疑似乱数欺瞞的な攻撃は、攻撃者によって予め値を知る方法を来たことはできませんnullまたはエラーであるトークンテストでは、不審な要求を拒否します。