CSRF対ç–ã®ã‚„ã‚Šæ–¹ã€ãã‚ãã‚アップデートã—ã¾ã›ã‚“ã‹ / Update your knowledge of CSRF protectionPHPerKaigi 2024 • Day 1ã§ã®ç™»å£‡è³‡æ–™ã§ã™ã€‚ https://phperkaigi.jp/2024/ https://fortee.jp/phperkaigi-2024/proposal/0d0f8507-0a53-46f6-bca6-23386d78f17f ※ Author…
CSRF 対ç–ã¯ã„ã¾ã ã« Token ãŒå¿…é ˆãªã®ã‹?
Update: ブãƒã‚°ã«ã¾ã¨ã‚ãŸã€‚ 令和時代㮠API 実装ã®ãƒ™ãƒ¼ã‚¹ãƒ—ラクティス㨠CSRF å¯¾ç– | blog.jxck.io CSRF 対ç–㯠One Time Token ã‚’ form ãªã‚Šã«ä»˜ä¸Žã—ã¦ã€ã‚µãƒ¼ãƒå´ã§ãƒã‚§ãƒƒã‚¯ã™ã‚Œã°è‰¯ã„。 ãれをデフォルトã§ã‚µãƒãƒ¼ãƒˆã—ã¦ã‚‹ãƒ•ãƒ¬ãƒ¼ãƒ ワークãªã©ã‚‚ã‚ã‚‹ã—ã€ãªãã¦ã‚‚ライブラリã§ã„ãらã§ã‚‚対応ã§ãる。 ã©ã†ã›å®Œå…¨ã«ã‚¹ãƒ†ãƒ¼ãƒˆãƒ¬ã‚¹ãªã‚µãƒ¼ãƒ“スã¯ãªã‹ãªã‹ãªã„ã®ã§ã€ã‚µãƒ¼ãƒå´ã« redis ã‚„ memcache を用æ„ã™ã‚‹ã®ã‚‚別ã«å¤§å¤‰ã˜ã‚ƒãªã„。 ãªã®ã§ã€ CSRF 対ç–ã¨ã—㦠Token を付与ã™ã‚‹ã®ã¯ã€æœ€ã‚‚安全ã§æŽ¨å¥¨ã§ãã‚‹æ–¹å¼ã§ã¯ã‚る。 ã£ã¦ã„ã†ã®ã‚’è¸ã¾ãˆãŸä¸Šã§ã€ã‚‚ㆠSameSite=Lax デフォルトã ã‘ã©ã€ä»Šã§ã‚‚ Token å¿…é ˆãªã®ï¼Ÿã¿ãŸã„ãªã®ãŒãŸã³ãŸã³è©±ã«å‡ºã‚‹ã®ã§ã€ã„ã„åŠ æ¸›ã¾ã¨ã‚る。 å‰æ ã“ã®è©±ã¯ã€ã‚¹ã‚³ãƒ¼ãƒ—ãŒã©ã“ãªã®ã‹ã«ã‚ˆã£ã¦è©±ãŒå¤šå°‘変ã‚ã‚‹ã®ã§ã€ã
書ç±ã€ŽWebアプリケーションセã‚ュリティ対ç–入門ã€ã®CSRF脆弱性 | 徳丸浩ã®æ—¥è¨˜
図ã®ã‚ˆã†ã«ã€å¤§åž£æœ¬ã®CSRF対ç–æ–¹å¼ï¼ˆä»¥ä¸‹ã€ã€Œå¤§åž£æ–¹å¼ã€ã¨è¡¨è¨˜ï¼‰ã§ã¯ã€ãƒˆãƒ¼ã‚¯ãƒ³ï¼ˆåŒæ›¸ã§ã¯ãƒ•ã‚©ãƒ¼ãƒ IDã¨è¡¨è¨˜ï¼‰ã‚’ランダムãªéµã¨ã—ã¦ç”Ÿæˆï¼ˆâ‘¡ï¼‰ã—ã€ãれをフォームã®éš ã—フィールドã¨DBã«ä¿å˜ã—ã¾ã™ï¼ˆâ‘¢ã€â‘£ï¼‰ã€‚ユーザーãŒãƒ•ã‚©ãƒ¼ãƒ をサブミット(⑤)ã™ã‚‹ã¨ã€é€ä¿¡ã•ã‚Œã¦ããŸãƒˆãƒ¼ã‚¯ãƒ³ãŒDB上ã«å˜åœ¨ã™ã‚‹ã‹ç¢ºèªï¼ˆâ‘¥ï¼‰ã—ã€ã‚ã‚Œã°ãƒˆãƒ¼ã‚¯ãƒ³ã‚’削除(⑦)ã—ã¦ã€ã‚µãƒ¼ãƒãƒ¼ä¸Šã®å‡¦ç†ã«é€²ã¿ã¾ã™ã€‚â‘¥ã§ãƒˆãƒ¼ã‚¯ãƒ³ãŒDBã«ãªã„å ´åˆã¯ã€ã‚¨ãƒ©ãƒ¼ã¨ã—ã¦å‡¦ç†ã«ã¯é€²ã¿ã¾ã›ã‚“。 一般的ãªCSRF対ç–手法ã¨ã®é•ã„ 大垣方å¼ãŒä¸€èˆ¬çš„ãªCSRF対ç–ã¨ç•°ãªã‚‹ç‚¹ã¯ä»¥ä¸‹ã®2点ã§ã™ã€‚ フォームã®2é‡æŠ•ç¨¿é˜²æ¢æ©Ÿèƒ½ã‚’å…¼ãã¦ã„ã‚‹ トークンãŒã‚»ãƒƒã‚·ãƒ§ãƒ³å¤‰æ•°ã§ã¯ãªãDBã«ä¿å˜ã•ã‚Œã‚‹ トークンã®æœ‰åŠ¹ç¯„囲ã¯? トークンãŒDBã«ä¿å˜ã•ã‚Œã‚‹å ´åˆã€ãƒˆãƒ¼ã‚¯ãƒ³ã®æœ‰åŠ¹ç¯„囲ãŒæ°—ã«ãªã‚‹ã¨ã“ã‚ã§ã™ã€‚大垣本ãŠã‚ˆã³ç¬¬äºŒç‰ˆã®ã‚½ãƒ¼ã‚¹ã‚’見るã¨ã€ãƒˆãƒ¼ã‚¯ãƒ³ã‚’ä¿å˜ã™ã‚‹ãƒ†ãƒ¼ãƒ–ルã®å®šç¾©ã¯ä»¥ä¸‹ã®é€šã‚Šã§ã™ã€‚ CR
HTML5時代ã®Web開発者ãŒçŸ¥ã‚‰ãªã„ã¨ã‚¬ãƒãƒ¤ãƒãª3ã¤ã®æœªæ¥äºˆæ¸¬ã¨6ã¤ã®è„†å¼±æ€§å¯¾ç–
8月21~23æ—¥ã«ãƒ‘シフィコ横浜ã§é–‹å‚¬ã•ã‚ŒãŸã€ŒCEDEC 2013ã€ã§ã¯ã€Webã®ä¸–ç•Œã«é–¢ã™ã‚‹ã‚»ãƒƒã‚·ãƒ§ãƒ³ã‚‚数多ãè¡Œã‚ã‚ŒãŸã€‚本記事ã§ã¯ãã®ä¸ã‹ã‚‰ã€ã‚µã‚¤ãƒœã‚¦ã‚ºãƒ»ãƒ©ãƒœã®ç«¹è¿«è‰¯ç¯„æ°ã«ã‚ˆã‚‹ã€ŒHTML5ã®ã“ã‚Œã¾ã§ã¨ã“ã‚Œã‹ã‚‰ã€æœ€æ–°æŠ€è¡“ã®æœªæ¥äºˆæ¸¬ã€ã¨ã€ã‚»ã‚ュリティコミュニティã§ã¯å¤§å¤‰è‘—åãªãƒãƒƒãƒˆã‚¨ãƒ¼ã‚¸ã‚§ãƒ³ãƒˆã€é•·è°·å·é™½ä»‹æ°ã«ã‚ˆã‚‹ã€ŒHTML5時代ã«ãŠã‘ã‚‹ã‚»ã‚ュリティをæ„è˜ã—ãŸé–‹ç™ºã€ã®2ã¤ã®ã‚»ãƒƒã‚·ãƒ§ãƒ³ã®æ§˜åã‚’ãŠé€ã‚Šã—よã†ã€‚ 竹迫æ°ãŒã€ŒHTMLã€ã®å‘¨ã‚Šã®æœ€æ–°æŠ€è¡“ã¨ã€3ã¤ã®æœªæ¥äºˆæ¸¬ã‚’語る 未æ¥äºˆæ¸¬ãã®1:通信ã¯æš—å·åŒ–ãŒæ¨™æº–ã«â€•â€•ã€Œã‚¹ã‚¿ãƒã§ãƒ‰ãƒ¤ãƒªãƒ³ã‚°ã€ã‹ã‚‰è€ƒãˆã‚‹æœ€æ–°æŠ€è¡“ 竹迫æ°ã¯ã¾ãšã€ã‚¹ã‚¿ãƒ¼ãƒãƒƒã‚¯ã‚¹ã§ã‚¹ã‚¿ã‚¤ãƒªãƒƒã‚·ãƒ¥ãªMacBook Airã‚’ã“れ見よãŒã—ã«ä½¿ã†ã€ã€Œãƒ‰ãƒ¤ãƒªãƒ³ã‚°ã€ã¨ã„ã†æŠ€è¡“(?)ã«ã¤ã„ã¦å†™çœŸã‚’出ã™ã¨ã“ã‚ã‹ã‚‰è¬›æ¼”を始ã‚ãŸã€‚ 実ã¯ã€ã“ã®ã€Œãƒ‰ãƒ¤ãƒªãƒ³ã‚°ã€ã€å…¬è¡†ç„¡ç·šLANを利用ã™ã‚‹ã¨ç›—è´ã®ãƒªã‚¹ã‚¯ãŒã‚ã‚‹ã“ã¨ãŒæŒ‡æ‘˜ã•ã‚Œã¦
twitterã«å¦ã¶ãªã‚Šã™ã¾ã—投稿対ç–
先日もtwitter上ã®çŠ¯è¡Œäºˆå‘Šã«ã‚ˆã‚Š20æ³ã®é’å¹´ãŒé€®æ•ã•ã‚ŒãŸã‚ˆã†ã§ã™ãŒã€ãªã‚Šã™ã¾ã—ã«ã‚ˆã‚‹èª¤èªé€®æ•ã§ã¯ãªã‹ã£ãŸã®ã‹æ°—ã«ãªã‚‹ã¨ã“ã‚ã§ã™ã€‚ãã“ã§ã€twitterãŒã€ãªã‚Šã™ã¾ã—投稿をã©ã®ç¨‹åº¦å¯¾ç–ã—ã¦ã„ã‚‹ã‹ã‚’調ã¹ã¦ã¿ã‚‹ã“ã¨ã«ã—ã¾ã—ãŸã€‚twitterã®å®‰å…¨æ€§ã‚’確èªã™ã‚‹ã“ã¨ãŒç›®çš„ã¨ã„ã†ã‚ˆã‚Šã‚‚ã€twitterãŒå®Ÿæ–½ã—ã¦ã„る対ç–を知るã“ã¨ã«ã‚ˆã‚Šã€çš†æ§˜ã®Webサイトを安全ã«ã™ã‚‹å‚考ã«ã—ã¦ã„ãŸã ã‘ã‚Œã°ã¨æ€ã„ã¾ã™ã€‚ 今回調ã¹ãŸã€Œãªã‚Šã™ã¾ã—投稿ã€ã®æ‰‹æ³•ã¯ä¸‹è¨˜ã®é€šã‚Šã§ã™ã€‚ クãƒã‚¹ã‚µã‚¤ãƒˆãƒ»ãƒªã‚¯ã‚¨ã‚¹ãƒˆãƒ»ãƒ•ã‚©ãƒ¼ã‚¸ã‚§ãƒª(CSRF) クãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング(XSS) HTTPヘッダーインジェクション クリックジャッã‚ング DNSリãƒã‚¤ãƒ³ãƒ‡ã‚£ãƒ³ã‚° クッã‚ーモンスターãƒã‚° ã“ã®ã†ã¡ã€ä¸Šã®5ã¤ã®è§£èª¬ã¯æ‹™ç¨¿ã€Œâ€œèª¤èªé€®æ•â€ã‚’防ãWebã‚»ã‚ュリティ強化術ã€ã€æœ€å¾Œã®ã‚¯ãƒƒã‚ーモンスターãƒã‚°ã«ã¤ã„ã¦ã¯ã€éŽåŽ»ã®ã‚¨ãƒ³ãƒˆãƒªã€Œã‚¯ãƒƒã‚ーモンスター
XMLHttpRequestを使ã£ãŸCSRF(補足編) - 葉ã£ã±æ—¥è¨˜
XMLHttpRequestを使ã£ãŸCSRFå¯¾ç– - 葉ã£ã±æ—¥è¨˜ã‚’書ã„ã¦ã„ã¦æ€ã£ãŸã‘ã©ã€ã„ã¾ã„ã¡XHRを使ã£ãŸCSRF(ã¨ã„ã†ã‹ã‚¯ãƒã‚¹ã‚ªãƒªã‚¸ãƒ³é€šä¿¡)ã«ã¤ã„ã¦ç†è§£ã•ã‚Œã¦ã„ãªã„よã†ãªæ„Ÿã˜ã ã£ãŸã®ã§ã€ã¡ã‚‡ã£ã¨æ›¸ã„ã¦ãŠãã¾ã™ã€‚ã¨ã‚Šã‚ãˆãšæ—¥æœ¬èªžã®ãƒªã‚½ãƒ¼ã‚¹çš„ã«ã¯ã€HTTP access control | MDN ãŒè©³ã—ãã¦ã€ãれをèªã‚ã°ã ã„ãŸã„事足りるんã§ã€ã‚ã¨ã¯CSRFã«é–¢é€£ã—ãã†ãªè©±é¡Œã ã‘。 Q. ãã‚‚ãも「クãƒã‚¹ã‚ªãƒªã‚¸ãƒ³ã€ã£ã¦ä½•ï¼Ÿ スã‚ームã€ãƒ›ã‚¹ãƒˆã€ãƒãƒ¼ãƒˆã®3ã¤ã®çµ„ã¿åˆã‚ã›ãŒä¸€è‡´ã—ã¦ã„ã‚‹å ´åˆã‚’åŒä¸€ã‚ªãƒªã‚¸ãƒ³(same-origin)ã€ã„ãšã‚Œã‹ä¸€ã¤ã§ã‚‚ã“ã¨ãªã‚‹å ´åˆã‚’クãƒã‚¹ã‚ªãƒªã‚¸ãƒ³(cross-origin)ã¨è¨€ã„ã¾ã™ã€‚ã¤ã¾ã‚Šã€XHRã§ãƒ‰ãƒ¡ã‚¤ãƒ³ã‚’超ãˆã¦é€šä¿¡ã—ã¦ã„ã‚‹å ´åˆã¯å…¸åž‹çš„ãªã‚¯ãƒã‚¹ã‚ªãƒªã‚¸ãƒ³é€šä¿¡ã¨ãªã‚Šã¾ã™ã€‚ Q. ãˆï¼Ÿ XMLHttpReuest ã£ã¦ä»–ã®ãƒ‰ãƒ¡ã‚¤ãƒ³ã«ãƒªã‚¯ã‚¨ã‚¹ãƒˆã‚’発行ã§ããªã„ã‚“ã˜ã‚ƒ ã„
ï¼»1ï¼½ãªã‚Šã™ã¾ã—ã®æ”»æ’ƒæ‰‹æ³•
横浜市ã®ã‚µã‚¤ãƒˆã€Œå¸‚æ°‘ã‹ã‚‰ã®æ案ã€ã¯ã€å¸‚æ°‘ã‹ã‚‰æ§˜ã€…ãªæ„見を集ã‚る目的ã§é‹å–¶ã•ã‚Œã¦ã„る(写真1)。ãªã‚Šã™ã¾ã—犯行予告ã«ã‚ˆã‚Šã€ç„¡å®Ÿã®ä¸€èˆ¬å¸‚æ°‘ãŒç›¸æ¬¡ã„ã§èª¤èªé€®æ•ã•ã‚ŒãŸä¸€é€£ã®äº‹ä»¶ã§ã¯ã€ã“ã“ãŒçŠ¯è¡Œç¾å ´ã®1ã¤ã«ãªã£ãŸã€‚2012å¹´6月ã€æ¨ªæµœå¸‚ç«‹ã®å°å¦æ ¡ã‚’襲撃ã™ã‚‹ã¨ã„ã†äºˆå‘ŠãŒæ›¸ãè¾¼ã¾ã‚ŒãŸã®ã 。 大ããªå®Ÿå®³ã¯ãªã„ã¯ãšã®å•é¡ŒãŒâ€¦ 用ã„られãŸã®ã¯ã€ã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆãƒªã‚¯ã‚¨ã‚¹ãƒˆãƒ•ã‚©ãƒ¼ã‚¸ã‚§ãƒªãƒ¼ï¼ˆCSRF)ã¨ã„ã†æ”»æ’ƒæ‰‹æ³•ã§ã‚る。犯人ã¯åŒ¿å掲示æ¿2chãªã©ã‚’介ã—ã¦ã€ä¸€èˆ¬å¸‚æ°‘ã®è¢«å®³è€…ã‚’ç½ ã‚µã‚¤ãƒˆã«èª˜å°Žã—ã€ãã“ã«ä»•æŽ›ã‘ãŸJavaScriptを実行ã•ã›ãŸã€‚ã™ã‚‹ã¨è¢«å®³è€…ãŒçŸ¥ã‚‰ãªã„ã†ã¡ã«æ¨ªæµœå¸‚ã®ã‚µã‚¤ãƒˆã«è¥²æ’ƒäºˆå‘ŠãŒæ›¸ãè¾¼ã¾ã‚Œã€ã‚ãŸã‹ã‚‚被害者ãŒæ›¸ã„ãŸã‹ã®ã‚ˆã†ã«è¦‹ã›ã‹ã‘られãŸã€‚具体的ã«ã¯ã€è¢«å®³è€…ã®Webブラウザーã‹ã‚‰ã®ã‚¢ã‚¯ã‚»ã‚¹ã«ã‚ˆã£ã¦ã€è¢«å®³è€…PCã®IPアドレスãŒæ¨ªæµœå¸‚サイトã®ã‚¢ã‚¯ã‚»ã‚¹å±¥æ´ã«æ®‹ã£ãŸã®ã 。æœæŸ»å½“å±€ã¯ãã®IPアドレスをãŸã©ã£ã¦ã€è¢«å®³è€…
クãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング(XSS)ã¨CSRFã®é•ã„早分ã‹ã‚Š - ockeghem(徳丸浩)ã®æ—¥è¨˜
昨日ã®æ—¥è¨˜ã§ã€DKç¥ã‚Šã§ä½¿ã‚ã‚Œã¦ã„る脆弱性ãŒXSSã‹CSRFã‹ã¨ã„ã†å•é¡Œã«ãªã£ãŸã€‚ã©ã†ã‚‚ã€XSSã¨CSRFãŒã”ã£ã¡ã‚ƒã«ãªã£ã¦ã„る人もã„るよã†ã«è¦‹å—ã‘ã‚‹ã®ã§ã€ç°¡å˜ãªæ•´ç†ã‚’試ã¿ãŸã„。 XSSã¨CSRFã«ã¯ä¼¼ãŸç‚¹ãŒã‚る。 ã©ã¡ã‚‰ã‚‚「クãƒã‚¹ã‚µã‚¤ãƒˆã€ã¨ã„ã†è¨€è‘‰ãŒå…ˆé ã«ã¤ã ãªã‚Šã™ã¾ã—ã®ã‚ˆã†ãªã“ã¨ãŒçµæžœã¨ã—ã¦ã§ãã‚‹ ã©ã¡ã‚‰ã‚‚å—動型攻撃ã§ã‚ã‚‹ ãã‚Œã«å¯¾ã—ã¦ã€ã‚‚ã¡ã‚ã‚“é•ã†ç‚¹ã‚‚ã‚る。専門家ã‹ã‚‰è¦‹ã‚Œã°ã€Œä¼¼ã¦ã‚‹ã‚‚何もã€ãã‚‚ãも全然é•ã†ã‚‚ã®ã§ã™ã‚ˆã€ã¨ãªã‚‹ã®ã ã‚ã†ãŒã€ç¾ã«æ··åŒã—ã¦ã„る人ãŒã„ã‚‹ã®ã ã‹ã‚‰ç´›ã‚‰ã‚ã—ã„点もã‚ã‚‹ã®ã ã‚ã†ã€‚ ç§æ€ã†ã«ã€XSSã¨CSRFã®æ±ºå®šçš„ãªé•ã„ã¯ã€ä»¥ä¸‹ã®ç‚¹ã§ã¯ãªã„ã ã‚ã†ã‹ã€‚ XSSã¯æ”»æ’ƒã‚¹ã‚¯ãƒªãƒ—トãŒãƒ–ラウザ上ã§å‹•ããŒã€CSRFã¯ã‚µãƒ¼ãƒãƒ¼ä¸Šã§å‹•ã ã“ã®ãŸã‚ã€XSSã§ã§ãる悪ã„ã“ã¨ã¯ã€ã™ãªã‚ã¡JavaScriptã§ã§ãã‚‹ã“ã¨ã§ã‚ã£ã¦ã€æ”»æ’ƒå¯¾è±¡ã®Cookieã‚’ç›—ã¿å‡ºã™ã“ã¨ãŒå…¸åž‹ä¾‹ã¨ãªã‚‹ã€‚一方ã€CS
1
ランã‚ング
ランã‚ング
メンテナンス
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
超絶技巧CSRF / Shibuya.XSS techtalk #7
Interactive Reading Community (Ver.6)
{{#tags}}- {{label}}
{{/tags}}