はてなブックマーク - CSRFで強制ログインさせるというアイデア

CSRFで強制ログインさせるというアイデア - ぼくはまちちゃん！(Hatena)

タグ : セキュリティ security CSRF web はまちちゃん web制作 Webサービス php sns サービス

コンピュータ・IT 548 users

こんにちはこんにちは！！今日はCSRF 脆弱性のちょっとした話です！このCSRFってなにかっていうと、サーバーへのリクエストを『誰かに勝手に送らせる』っていうやつ。わかりやすいな例だと、 HTMLの画像タグを以下のようにしたページを誰かに教える。 img src="何々SNSのの足跡.php" width="1" height="1"> そうすると、そのページを「見た人」が何々SNSのの足跡.phpにアクセスしたことになるっていうやつ。 ※詳しくはこちら → ［はまちちゃんのセキュリティ講座］ここが... > このページを見る

最終更新時間: 2012年05月22日15時47分

▼ブログで紹介する

みんなのブックマーク人気（10）新着

Hamachiya2
にっきかいた→「CSRFで強制ログインさせるというアイデア」 2012/05/2236 RT
36 RT

6件のツイートが省略されましたすべて表示
- @zo_najap_zo 想像したらこわい！ webのいたずらは思わぬ方向から来るなぁー＞＜ RT @Hamachiya2: にっきかいた→「
- @aughtheart やはりログインしたままで使い続けるのはリスクのある行為に変わりはないか。Twitterもクライアントだけでなく本家のページをたまには確認すべき。RT @Hamachiya2: にっきかいた→「
rzio
はまちちゃん、いつもはこんにちわこんにちわって実行が先なのに。 2012/05/23
K-Ono
『(結論) ログインのフォームもCSRF対策したほうがいいよ。』さすがのお兄ちゃんも実証はすまいと思った模様なのでこれはやばい。 2012/05/22
jaguarsan
むしろ不正アクセスで嵌められるのがヤバくね？ 2012/05/22
jeffreyfrancesco 脆弱性, セキュリティ
アイコン設定しとけば…とか書いてる人いるけど、これは自分の知らない間に裏で無関係なアカウントにログインから何まで全部させちゃうって話だと思うので、そういう問題じゃないはずです 2012/05/22
totttte
さすがはまちおにいちゃん！ 2012/05/22
unkocube
このエントリをブックマークするとき，ちゃんとオレのアカウントだよな，と確認してしまうなどした． 2012/05/23
tail_y
えっと、これを防ぐためにユーザーアイコン設定させたりとか、ページのトップで「ようこそ○○さん」って書かれている、という認識でいいのかな？ 2012/05/221 RT

1 RT
mame-tanuki セキュリティー
怖い怖い＞「ちなみにdropboxも強制ログインさせること可能だよ」 2012/05/22
otchy210
アイコン設定とかが防止策みたいな話も思ったけど、これ一番怖いのは対象のサービスの画面を一度も見せることなく、攻撃を完了させられる点だなー。ログインは POST のみでトークン付きって対策がよさげ。 2012/05/23

tarchan csrf, security, はまちちゃん
＞今は「どのサイトも誰かを違うアカウントでログインさせ放題」の状態 2012/06/21
pochi-p これはこわい, security, CSRF
罠しかけられたサイトを見たら「いつの間にか誰かのアカウントにログインしていて不正アクセスで逮捕されていた。ログイン履歴に俺のIPがあった。何を言ってるのか（ｒｙ」ってなるんですねgkbrです。 2012/06/073 RT
3 RT
- @pochi_p CSRF対策されてた場合でも、「攻撃を受けた」までならどのみち被害届は出せちゃうけどね…。ログイン成功履歴の有る無しは裁判で結構大きそう。 http://t.co/ZCg13khb
- @pochi_p 勿論CSRF関係なしにウィルス感染してウィルスが自ＰＣからどこかに侵入試みることはあり得る。それは勿論問題だけど、CSRF対策されてないとウィルス感染の必要が無い。スクリプトが有効なブラウザで特定ページ開かせるだけでOKなんだから。 http://t.co/ZCg13khb
- @pochi_p 特定ページは攻撃者の用意した罠サイトやXSSの出来る第三者サイトに罠仕込むでもOKだしなー。bot等ウィルスに感染させずとも、ブラウザで罠ページ読ませるだけでオンラインパスクラックに協力させられうるってマジ怖いんですけど…。 http://t.co/ZCg13khb
mainyaa security
ん、ユーザー側でもブラウザの3rd party cookieを拒否する設定にすれば対策できるよね？ 2012/05/31
AmaiSaeta security, CSRF
"「違うアカウントで、大事なメールを送信」、「違うアカウントで、秘密の写真をアップロード」 " | (ふと思ったんだが、「CSRFで強制ログイン」が出来るのならば、「CSRFで強制アカウント作成」も出来るんかな……) 2012/05/28
happs
"サーバーへのリクエストを『誰かに勝手に送らせる』っていうセキュリティがらみの攻撃手法" 2012/05/26
tmf16 security
ブックマークレットとか使って投稿してると危ないね 2012/05/24
rryu セキュリティ
変則的なセッション固定攻撃っぽい雰囲気。むしろアカウント固定攻撃？ 2012/05/24
hodade
勝手に違うアカウントでログインしたとして、TLとかマイホームとか見た瞬間異変に気づいて投稿しないでしょう？ 2012/05/24
katsyoshi security, CSRF
フムフム 2012/05/241 RT

1 RT
diveintounlimit security
サラっと怖いことが書いてあった。 2012/05/24
clonblmn *セキュリティ
ログイン時にもトークンを使ってチェックしろということかな。 2012/05/24
coinlocker
ログインさせてIPを取得という罠は見たことがある。 2012/05/24
dai_hi_saru
CSRFで強制ログインさせるというアイデア - ぼくはまちちゃん！(Hatena) 2012/05/24
TakayukiN627 security
(結論) ログインのフォームもCSRF対策したほうがいいよ。 2012/05/24
been35689y220 *あとで読む, PC, まとめ, ﾈﾀ
捗るけど、コミュニケーションにかける場合があるということなのか‥ ひととコミュニケーションをとるには、民主的なリーダーの方程度維持とか‥ 2012/05/23
tatsunop security, web
あまりよく分かってないのだけど、ログイン後の画面の情報だけは正規のものに似せて名前とかアイコンを取得して、でも実際は別のアカウントってことはできるのかな。そうするとユーザーはお手上げっぽいけど。 2012/05/23
canadie
これはすなわちログアウト時もCSRFチェック掛けろってことですな。 2012/05/23
ka-ka_xyz
？？？ POSTじゃなくてGETでログインできるのかな一般的に・・・と思って少しググったらJSでクロスドメインポストする方法が山ほどヒットして藁田 2012/05/23
otchy210
アイコン設定とかが防止策みたいな話も思ったけど、これ一番怖いのは対象のサービスの画面を一度も見せることなく、攻撃を完了させられる点だなー。ログインは POST のみでトークン付きって対策がよさげ。 2012/05/23
ikeike443
ふむー。 2012/05/231 RT

1 RT