Q&A
「POSTリクエストを含むURL」というのの具体例をお願いします
はじめまして。
CSRFの発生条件についてお伺いしたくご連絡させていただきました。
参考書等には「罠サイトの閲覧」がCSRF発生の条件の一つとして上げられていますが、
(onload文等でPOST実行するイメージでしょうか。)
例えばメールでPOSTリクエストを含むURLを送信しそのURLが悪意のあるパラメータを設定していれば同様の結果にはなりませんか?
その場合でも世間一般ではCSRFと呼ばれているのでしょうか?
よろしくお願いします。
回答2件
0
ベストアンサー
CSRF攻撃は、利用者(被害者)のブラウザから、攻撃対象サイトに、意図しないリクエストを送信させることで行われます。その代表的な手法が、罠サイトを閲覧させ、その罠サイトから攻撃対象サイトにリクエストを送る方法です。更新処理などサーバー内の処理があるページが攻撃対象になります。単に表示処理のみであれば、利用者のブラウザ上で表示がされるだけで、攻撃者がそれを閲覧できるわけではないので、攻撃としての意味がありません。更新処理などを意図せず実行させることがCSRF攻撃の目的です。
なぜPOSTリクエストかと言うと、更新処理など「副作用」のあるページはPOSTメソッドである べき だからです。しかし、脆弱性のあるようなサイトはずさんなことが多く、この原則が守られていないことも多いです。GETリクエストで更新処理を受け付けるようなサイトであれば、FORMを用いる必要すらなく、<img>タグで攻撃することもできます。
ということで、「罠サイトの閲覧」というのは、あくまで例であり、要はHTTPリクエストを送信できる方法であればなんでもよい、ということです。
投稿2019/05/29 12:23
総合スコア11701
0
CSRFの発生条件
ユーザの意図しない web サーバへのアクセスとそれを処理してしまう脆弱性のあるサーバが揃えば発生します。
POST である必要性はなく、意図しない処理実現してしまうアクセスであれば何でも CSRF です。
あ、でも一応クロスサイトとついているので、同一ドメイン外からのアクセスを前提としています^^;
投稿2019/05/29 09:08
退会済みユーザー
総合スコア0
あなたの回答
tips
プレビュー
