こんにちはこんにちは!! 今日はCSRF脆弱性のちょっとした話です! このCSRFってなにかっていうと、 サーバーへのリクエストを『誰かに勝手に送らせる』っていうやつ。 わかりやすいな例だと、 HTMLの画像タグを以下のようにしたページを誰かに教える。 img src="何々SNSのの足跡.php" width="1" height="1"> そうすると、そのページを「見た人」が何々SNSのの足跡.phpにアクセスしたことになるっていうやつ。 ※詳しくはこちら → [はまちちゃんのセキュリティ講座]ここが... > このページを見る
最終更新時間:
2012年05月22日15時47分
みんなのブックマーク 人気(10) 新着
-
にっきかいた→「CSRFで強制ログインさせるというアイデア」
36 RT
36 RT
-
@zo_najap_zo
想像したらこわい! webのいたずらは思わぬ方向から来るなぁー><
RT @Hamachiya2: にっきかいた→「
-
@aughtheart
やはりログインしたままで使い続けるのはリスクのある行為に変わりはないか。Twitterもクライアントだけでなく本家のページをたまには確認すべき。
RT @Hamachiya2: にっきかいた→「
-
@zo_najap_zo
想像したらこわい! webのいたずらは思わぬ方向から来るなぁー><
- はまちちゃん、いつもはこんにちわこんにちわって実行が先なのに。
- 『(結論) ログインのフォームもCSRF対策したほうがいいよ。』さすがのお兄ちゃんも実証はすまいと思った模様なのでこれはやばい。
- むしろ不正アクセスで嵌められるのがヤバくね?
- アイコン設定しとけば…とか書いてる人いるけど、これは自分の知らない間に裏で無関係なアカウントにログインから何まで全部させちゃうって話だと思うので、そういう問題じゃないはずです
- さすがはまちおにいちゃん!
- このエントリをブックマークするとき,ちゃんとオレのアカウントだよな,と確認してしまうなどした.
- えっと、これを防ぐためにユーザーアイコン設定させたりとか、ページのトップで「ようこそ○○さん」って書かれている、という認識でいいのかな? 1 RT
- 怖い怖い>「ちなみにdropboxも強制ログインさせること可能だよ」
- アイコン設定とかが防止策みたいな話も思ったけど、これ一番怖いのは対象のサービスの画面を一度も見せることなく、攻撃を完了させられる点だなー。ログインは POST のみでトークン付きって対策がよさげ。
- >今は「どのサイトも誰かを違うアカウントでログインさせ放題」の状態
-
罠しかけられたサイトを見たら「いつの間にか誰かのアカウントにログインしていて不正アクセスで逮捕されていた。ログイン履歴に俺のIPがあった。何を言ってるのか(ry」ってなるんですねgkbrです。
3 RT
3 RT
- @pochi_p CSRF対策されてた場合でも、「攻撃を受けた」までならどのみち被害届は出せちゃうけどね…。ログイン成功履歴の有る無しは裁判で結構大きそう。 http://t.co/ZCg13khb
- @pochi_p 勿論CSRF関係なしにウィルス感染してウィルスが自PCからどこかに侵入試みることはあり得る。それは勿論問題だけど、CSRF対策されてないとウィルス感染の必要が無い。スクリプトが有効なブラウザで特定ページ開かせるだけでOKなんだから。 http://t.co/ZCg13khb
- @pochi_p 特定ページは攻撃者の用意した罠サイトやXSSの出来る第三者サイトに罠仕込むでもOKだしなー。bot等ウィルスに感染させずとも、ブラウザで罠ページ読ませるだけでオンラインパスクラックに協力させられうるってマジ怖いんですけど…。 http://t.co/ZCg13khb
- ん、ユーザー側でもブラウザの3rd party cookieを拒否する設定にすれば対策できるよね?
- "「違うアカウントで、大事なメールを送信」、「違うアカウントで、秘密の写真をアップロード」 " | (ふと思ったんだが、「CSRFで強制ログイン」が出来るのならば、「CSRFで強制アカウント作成」も出来るんかな……)
- "サーバーへのリクエストを『誰かに勝手に送らせる』っていうセキュリティがらみの攻撃手法"
- ブックマークレットとか使って投稿してると危ないね
- 変則的なセッション固定攻撃っぽい雰囲気。むしろアカウント固定攻撃?
- 勝手に違うアカウントでログインしたとして、TLとかマイホームとか見た瞬間異変に気づいて投稿しないでしょう?
- フムフム 1 RT
- サラっと怖いことが書いてあった。
- ログイン時にもトークンを使ってチェックしろということかな。
- ログインさせてIPを取得という罠は見たことがある。
- CSRFで強制ログインさせるというアイデア - ぼくはまちちゃん!(Hatena)
- (結論) ログインのフォームもCSRF対策したほうがいいよ。
- 捗るけど、コミュニケーションにかける場合があるということなのか‥ ひととコミュニケーションをとるには、民主的なリーダーの方程度維持 とか‥
- あまりよく分かってないのだけど、ログイン後の画面の情報だけは正規のものに似せて名前とかアイコンを取得して、でも実際は別のアカウントってことはできるのかな。そうするとユーザーはお手上げっぽいけど。
- これはすなわちログアウト時もCSRFチェック掛けろってことですな。
- ??? POSTじゃなくてGETでログインできるのかな一般的に・・・と思って少しググったらJSでクロスドメインポストする方法が山ほどヒットして藁田
- アイコン設定とかが防止策みたいな話も思ったけど、これ一番怖いのは対象のサービスの画面を一度も見せることなく、攻撃を完了させられる点だなー。ログインは POST のみでトークン付きって対策がよさげ。
- ふむー。 1 RT