CSRF 対ç–用トークンã®å€¤ã«ã‚»ãƒƒã‚·ãƒ§ãƒ³ ID ãã®ã‚‚ã®ã‚’使ã£ã¦ã‚‚ã„ã„時代ã¯çµ‚ã‚ã‚Šã¤ã¤ã‚ã‚‹ - co3k.orgCSRF 脆弱性対ç–ã«ã¯æ”»æ’ƒè€…ã®çŸ¥ã‚Šå¾—ãªã„ç§˜å¯†æƒ…å ±ã‚’ãƒªã‚¯ã‚¨ã‚¹ãƒˆã«å¯¾ã—ã¦è¦æ±‚ã™ã‚Œã°ã‚ˆãã€ãã®ã‚ˆã†ãªç”¨é€”ã¨ã—ã¦ã¯ã‚»ãƒƒã‚·ãƒ§ãƒ³ ID ãŒãŠæ‰‹è»½ã§ã„ã„よãã¨ã„ã†æ™‚代ãŒã‚ã£ãŸã‹ã¨æ€ã„ã¾ã™ã€‚ ã„ã‚„ã€ã‚‚ã¡ã‚ん〠CSRF 対ç–ã®æ–‡è„ˆã ã‘ã§è¨€ãˆã°ä»Šã‚‚昔も間é•ã„ã¨ã„ã†ã‚ã‘ã§ã¯ã‚ã‚Šã¾ã›ã‚“。セッション ID ãŒç§˜å¯†æƒ…å ±ã§ã‚ã‚‹ã®ã¯ Web アプリケーションã«ãŠã„ã¦å½“然ã®å‰æã§ã™ã®ã§ã€ CSRF 対ç–ã¨ã—ã¦ãƒªã‚¯ã‚¨ã‚¹ãƒˆã«æ±‚ã‚ã‚‹ã¹ãパラメータã¨ã—ã¦ã®æ¡ä»¶ã¯ãŸã—ã‹ã«æº€ãŸã—ã¦ã„ã¾ã™ã€‚ ãŸã¨ãˆã° 『安全ãªã‚¦ã‚§ãƒ–サイトã®ä½œã‚Šæ–¹ã€ 改訂第6版ã§ã¯ä»¥ä¸‹ã®ã‚ˆã†ã«è§£èª¬ã•ã‚Œã¦ã„ã¾ã™ã€‚ 6-(i)-a. (ä¸ç•¥) ãã®ã€Œhidden パラメータã€ã«ç§˜å¯†æƒ…å ±ãŒæŒ¿å…¥ã•ã‚Œã‚‹ã‚ˆã†ã€å‰ã®ãƒšãƒ¼ã‚¸ã‚’自動生æˆã—ã¦ã€å®Ÿè¡Œãƒšãƒ¼ã‚¸ã§ã¯ãã®å€¤ãŒæ£ã—ã„å ´åˆã®ã¿å‡¦ç†ã‚’実行ã™ã‚‹ã€‚ (ä¸ç•¥) ã“ã®ç§˜å¯†æƒ…å ±ã¯ã€ã‚»ãƒƒã‚·ãƒ§ãƒ³ç®¡ç†ã«ä½¿ç”¨ã—ã¦ã„るセッション ID を用ã„る方法ã®ä»–ã€
IPA ISEC セã‚ュア・プãƒã‚°ãƒ©ãƒŸãƒ³ã‚°è¬›åº§ï¼šWebアプリケーション編 第4ç« ã‚»ãƒƒã‚·ãƒ§ãƒ³å¯¾ç–:リクエスト強è¦ï¼ˆCSRF)対ç–
{{#tags}}- {{label}}
{{/tags}}