CSRF is (really) dead
Scott Helme Security researcher, entrepreneur and international speaker who specialises in web technologies. More posts by Scott Helme. A little while back I wrote a blog post about how "CSRF is dead". It focused on SameSite cookies, a powerful yet simple feature to protect your website against CSRF attacks. As powerful as it was, and as much as it will kill CSRF, you had to enable it on your site
CVE-2016-7401 CSRF protection bypass on a site with Google Analytics ã®è§£èª¬
gistfile1.md CVE-2016-7401 https://www.djangoproject.com/weblog/2016/sep/26/security-releases/ https://hackerone.com/reports/26647 pythonã®cookie parser㌠; 以外もpairsã®åŒºåˆ‡ã‚Šæ–‡å—ã¨ã—ã¦è§£é‡ˆã™ã‚‹ã®ã§ã€google analyticsã®referrer経由ã§setã•ã‚Œã‚‹cookieを使ã£ã¦CSRF tokenを上書ãå¯èƒ½ã ã£ãŸã¨ã„ã†å•é¡Œã€‚ djangoå´ã§cookie parser自å‰ã§å®Ÿè£…ã€python本体ã¯ç›´ã£ã¦ãªã„よã†ã https://github.com/django/django/commit/d1bc980db1c0fffd6d60677e62f70beadb9fe64a 多ãã®cookie parserã¯ã€pairsã®åŒº
ã¯ã¦ãªã«ãƒã‚°ã‚¤ãƒ³ã—ã¦ã‚‹ã¨äººã®ãƒ–ãƒã‚°ã‚’見ãŸã ã‘ã§ãƒ¦ãƒ¼ã‚¶ãƒ¼åãŒãƒãƒ¬ã‚‹ - ç´ äººãŒãƒ—ãƒã‚°ãƒ©ãƒŸãƒ³ã‚°ã‚’勉強ã—ã¦ã„ãŸãƒ–ãƒã‚°
11 August 2014: ã¯ã¦ãªã®ã‚µãƒãƒ¼ãƒˆã‹ã‚‰é€£çµ¡ãŒããŸã€‚ ã„ã¤ã‚‚ã¯ã¦ãªã‚’ã”利用ã„ãŸã ãã‚ã‚ŠãŒã¨ã†ã”ã–ã„ã¾ã™ã€‚ ã”指摘ã„ãŸã ãã¾ã—ãŸä»¶ã«ã¤ãã¾ã—ã¦ã€ãŸã ã„ã¾å¯¾å¿œã‚’検討ã—ã¦ãŠã‚Šã¾ã™ã€‚ 第三者ã«æ‚ªç”¨ã•ã‚Œã‚‹å¯èƒ½æ€§ã‚‚ã”ã–ã„ã¾ã™ã®ã§ã€ ã‚‚ã—ã€è„†å¼±æ€§ã‚’確èªã•ã‚ŒãŸå ´åˆã«ã¯ã€å…ˆã«å¼Šç¤¾ã«ã”連絡ã„ãŸã ã〠脆弱性ãŒä¿®æ£ã•ã‚Œã‚‹ã¾ã§ã€ãƒ–ãƒã‚°ãªã©ã§è©³ç´°ã‚’公開ã•ã‚Œãªã„よã†ã”å”力ã„ãŸã ã‘ã¾ã™ã¨å¹¸ã„ã§ã™ã€‚ ã‚‚ã—ãªã«ã‹ã”ä¸æ˜Žãªç‚¹ãªã©ã”ã–ã„ã¾ã—ãŸã‚‰ã”連絡ãã ã•ã„。 ã©ã†ãžã‚ˆã‚ã—ããŠé¡˜ã„ã„ãŸã—ã¾ã™ã€‚ ã—ã‹ã—サãƒãƒ¼ãƒˆã«ã¯ã“ã®è¨˜äº‹ã®URLã—ã‹é€ã£ã¦ã„ãªã„ã—ã€æ—¢ã«ï¼ˆä¸€éƒ¨ãƒ¦ãƒ¼ã‚¶ã«ã‚ˆã‚‹DDoSã‚‚å«ã‚ã¦ï¼‰89656ã®ã‚¹ã‚¿ãƒ¼ãŒã¤ãã»ã©é–²è¦§ã•ã‚Œã¦ã„ã‚‹ã®ã§ã€ã“ã®è¨˜äº‹ã‚’消ã—ã¦ã‚‚ã—ょã†ãŒãªã„。よã£ã¦ã€ã“ã®ã¾ã¾æ”¾ç½®ã™ã‚‹ã€‚èªè€…ã¯ä¿®æ£ã•ã‚Œã‚‹ã¾ã§ã€æ±ºã—ã¦æ‚ªç”¨ã—ãªã„ã§ã»ã—ã„。 テスト RSSã§è¦‹ã¦ã‚‹äººã¯ç›´æŽ¥é–‹ã„ã¦ãã ã•ã„ ã¯ã¦ãƒ–ã§æŒ‡æ‘˜ãŒã‚ã£ãŸãŒã€ã“ã®ãƒš
ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®çµ‚了日を2020å¹´1月31æ—¥(金)ã«æ±ºå®šã—ã¾ã—㟠- ã¯ã¦ãªã®å‘ŠçŸ¥
ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®çµ‚了日を2020å¹´1月31æ—¥(金)ã«æ±ºå®šã—ã¾ã—㟠以下ã®ã‚¨ãƒ³ãƒˆãƒªã®é€šã‚Šã€ä»Šå¹´æœ«ã‚’目処ã«ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—を終了予定ã§ã‚る旨をãŠçŸ¥ã‚‰ã›ã—ã¦ãŠã‚Šã¾ã—ãŸã€‚ 2019年末を目処ã«ã€ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®æ供を終了ã™ã‚‹äºˆå®šã§ã™ - ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記 ã“ã®ãŸã³ã€æ£å¼ã«çµ‚了日を決定ã„ãŸã—ã¾ã—ãŸã®ã§ã€ä»¥ä¸‹ã®é€šã‚Šã”確èªãã ã•ã„。 終了日: 2020å¹´1月31æ—¥(金) エクスãƒãƒ¼ãƒˆå¸Œæœ›ç”³è«‹æœŸé™:2020å¹´1月31æ—¥(金) 終了日以é™ã¯ã€ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®é–²è¦§ãŠã‚ˆã³æŠ•ç¨¿ã¯è¡Œãˆã¾ã›ã‚“。日記ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆãŒå¿…è¦ãªæ–¹ã¯ä»¥ä¸‹ã®è¨˜äº‹ã«ã—ãŸãŒã£ã¦æ‰‹ç¶šãã‚’ã—ã¦ãã ã•ã„。 ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã«æŠ•ç¨¿ã•ã‚ŒãŸæ—¥è¨˜ãƒ‡ãƒ¼ã‚¿ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆã«ã¤ã„㦠- ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記 ã”利用ã®ã¿ãªã•ã¾ã«ã¯ã”迷惑をãŠã‹ã‘ã„ãŸã—ã¾ã™ãŒã€ã©ã†ãžã‚ˆã‚ã—ããŠé¡˜ã„ã„ãŸã—ã¾ã™ã€‚ 2020-06-25 追記 ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆãƒ‡ãƒ¼ã‚¿ã¯2020å¹´2月28
Rails 4.0ã ã¨CSRFトークンã§ã‚¨ãƒ©ãƒ¼ã«ãªã‚‹ - Qiita
ã¤ã„ã«Rails 4ãŒãƒªãƒªãƒ¼ã‚¹ã•ã‚ŒãŸã®ã§è»½ã触ã£ã¦ã¿ãŸã‚‰ã€3.xã‹ã‚‰å¤‰ã‚ã£ãŸã¨ã“ã‚を見ã¤ã‘ãŸã®ã§å…±æœ‰ã€‚ã¾ã 日本語ã®æƒ…å ±ã¯è¦‹å½“ãŸã‚‰ãªã‹ã£ãŸã€‚ APIを試ã—ã«ä½œã£ã¦ã¿ã‚ˆã†ã¨æ€ã„curlã§POSTリクエストをé€ã‚ã†ã¨ã—ãŸã‚‰ä»¥ä¸‹ã®ã‚ˆã†ãªã‚¨ãƒ©ãƒ¼ãŒã€‚ $ curl -X POST -d "name='hoge'" http://localhost:3000/bikes Can't verify CSRF token authenticity Completed 422 Unprocessable Entity in 1ms ActionController::InvalidAuthenticityToken (ActionController::InvalidAuthenticityToken): ...
IE8以å‰ã¯HTMLフォームã§ãƒ•ã‚¡ã‚¤ãƒ«åã¨ãƒ•ã‚¡ã‚¤ãƒ«ã®ä¸èº«ã‚’外部ã‹ã‚‰æŒ‡å®šã§ãã‚‹
一昨日ã®ã‚¨ãƒ³ãƒˆãƒªã€Žæ›¸ç±ã€Œæ°—ã¥ã‘ã°ãƒ—ãƒä¸¦ã¿PHPã€ã«ãƒªãƒ¢ãƒ¼ãƒˆã‚¹ã‚¯ãƒªãƒ—ト実行ã®è„†å¼±æ€§ã€ã«ã¦ã€ãƒ•ã‚¡ã‚¤ãƒ«é€ä¿¡ãƒ•ã‚©ãƒ¼ãƒ ã«å¯¾ã™ã‚‹CSRF攻撃ã®æ–‡è„ˆã§ã€ç§ã¯ä»¥ä¸‹ã®ã‚ˆã†ã«æ›¸ãã¾ã—ãŸã€‚ 通常ã®HTMLフォームを使ã£ãŸCSRF攻撃ã§ã¯ã€Content-Typeã‚’multipart/form-dataã«ã™ã‚‹ã“ã¨ã¾ã§ã¯å¯èƒ½ã§ã™ãŒã€ãƒ•ã‚¡ã‚¤ãƒ«ã®ä¸èº«ã¨ãƒ•ã‚¡ã‚¤ãƒ«åを指定ã™ã‚‹æ–¹æ³•ãŒã‚ã‚Šã¾ã›ã‚“。従ã£ã¦ã€HTMLフォームã«ã‚ˆã‚‹æ”»æ’ƒçµŒè·¯ã¯ã‚ã‚Šã¾ã›ã‚“。 大åŠã®æ–¹ã¯ã€ã€Œã‚ã‚ã€ãã†ã よãã€ã¨ã„ã†æ„Ÿã˜ã§ãŠèªã¿ã„ãŸã ã„ãŸã‚ˆã†ã«æ€ã„ã¾ã™ãŒã€æ˜¨æ—¥ã‚µã‚¤ãƒãƒ¼ãƒ‡ã‚£ãƒ•ã‚§ãƒ³ã‚¹ç ”究所ã®ç¦æ£®å¤§å–œã•ã‚“ã‹ã‚‰ã€ã€Œãã‚ŒIE8以å‰ãªã‚‰ã§ãるよã€ã¨æ•™ãˆã¦ã„ãŸã ãã¾ã—ãŸã€‚ç¦æ£®ã•ã‚“ã®è¨±å¯ã‚’å¾—ã¦ã€ä»¥ä¸‹ã«PoCを公開ã—ã¾ã™ã€‚ <form enctype="multipart/form-data" action="pro_add_check.php" method="POST"
XMLHttpRequestを使ã£ãŸCSRF(補足編) - 葉ã£ã±æ—¥è¨˜
XMLHttpRequestを使ã£ãŸCSRFå¯¾ç– - 葉ã£ã±æ—¥è¨˜ã‚’書ã„ã¦ã„ã¦æ€ã£ãŸã‘ã©ã€ã„ã¾ã„ã¡XHRを使ã£ãŸCSRF(ã¨ã„ã†ã‹ã‚¯ãƒã‚¹ã‚ªãƒªã‚¸ãƒ³é€šä¿¡)ã«ã¤ã„ã¦ç†è§£ã•ã‚Œã¦ã„ãªã„よã†ãªæ„Ÿã˜ã ã£ãŸã®ã§ã€ã¡ã‚‡ã£ã¨æ›¸ã„ã¦ãŠãã¾ã™ã€‚ã¨ã‚Šã‚ãˆãšæ—¥æœ¬èªžã®ãƒªã‚½ãƒ¼ã‚¹çš„ã«ã¯ã€HTTP access control | MDN ãŒè©³ã—ãã¦ã€ãれをèªã‚ã°ã ã„ãŸã„事足りるんã§ã€ã‚ã¨ã¯CSRFã«é–¢é€£ã—ãã†ãªè©±é¡Œã ã‘。 Q. ãã‚‚ãも「クãƒã‚¹ã‚ªãƒªã‚¸ãƒ³ã€ã£ã¦ä½•ï¼Ÿ スã‚ームã€ãƒ›ã‚¹ãƒˆã€ãƒãƒ¼ãƒˆã®3ã¤ã®çµ„ã¿åˆã‚ã›ãŒä¸€è‡´ã—ã¦ã„ã‚‹å ´åˆã‚’åŒä¸€ã‚ªãƒªã‚¸ãƒ³(same-origin)ã€ã„ãšã‚Œã‹ä¸€ã¤ã§ã‚‚ã“ã¨ãªã‚‹å ´åˆã‚’クãƒã‚¹ã‚ªãƒªã‚¸ãƒ³(cross-origin)ã¨è¨€ã„ã¾ã™ã€‚ã¤ã¾ã‚Šã€XHRã§ãƒ‰ãƒ¡ã‚¤ãƒ³ã‚’超ãˆã¦é€šä¿¡ã—ã¦ã„ã‚‹å ´åˆã¯å…¸åž‹çš„ãªã‚¯ãƒã‚¹ã‚ªãƒªã‚¸ãƒ³é€šä¿¡ã¨ãªã‚Šã¾ã™ã€‚ Q. ãˆï¼Ÿ XMLHttpReuest ã£ã¦ä»–ã®ãƒ‰ãƒ¡ã‚¤ãƒ³ã«ãƒªã‚¯ã‚¨ã‚¹ãƒˆã‚’発行ã§ããªã„ã‚“ã˜ã‚ƒ ã„
ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®çµ‚了日を2020å¹´1月31æ—¥(金)ã«æ±ºå®šã—ã¾ã—㟠- ã¯ã¦ãªã®å‘ŠçŸ¥
ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®çµ‚了日を2020å¹´1月31æ—¥(金)ã«æ±ºå®šã—ã¾ã—㟠以下ã®ã‚¨ãƒ³ãƒˆãƒªã®é€šã‚Šã€ä»Šå¹´æœ«ã‚’目処ã«ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—を終了予定ã§ã‚る旨をãŠçŸ¥ã‚‰ã›ã—ã¦ãŠã‚Šã¾ã—ãŸã€‚ 2019年末を目処ã«ã€ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®æ供を終了ã™ã‚‹äºˆå®šã§ã™ - ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記 ã“ã®ãŸã³ã€æ£å¼ã«çµ‚了日を決定ã„ãŸã—ã¾ã—ãŸã®ã§ã€ä»¥ä¸‹ã®é€šã‚Šã”確èªãã ã•ã„。 終了日: 2020å¹´1月31æ—¥(金) エクスãƒãƒ¼ãƒˆå¸Œæœ›ç”³è«‹æœŸé™:2020å¹´1月31æ—¥(金) 終了日以é™ã¯ã€ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®é–²è¦§ãŠã‚ˆã³æŠ•ç¨¿ã¯è¡Œãˆã¾ã›ã‚“。日記ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆãŒå¿…è¦ãªæ–¹ã¯ä»¥ä¸‹ã®è¨˜äº‹ã«ã—ãŸãŒã£ã¦æ‰‹ç¶šãã‚’ã—ã¦ãã ã•ã„。 ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã«æŠ•ç¨¿ã•ã‚ŒãŸæ—¥è¨˜ãƒ‡ãƒ¼ã‚¿ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆã«ã¤ã„㦠- ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記 ã”利用ã®ã¿ãªã•ã¾ã«ã¯ã”迷惑をãŠã‹ã‘ã„ãŸã—ã¾ã™ãŒã€ã©ã†ãžã‚ˆã‚ã—ããŠé¡˜ã„ã„ãŸã—ã¾ã™ã€‚ 2020-06-25 追記 ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆãƒ‡ãƒ¼ã‚¿ã¯2020å¹´2月28
webアプリケーションã®è„†å¼±æ€§ã¨ã¯ï¼Ÿ - OKWAVE
ã“ã‚“ã«ã¡ã¯ï¼ 「フォームをå‹æ‰‹ã«ã‚µãƒ–ミットã—ã¦ã—ã¾ã†ã€ ãã®èªè˜ã§ã ã„ãŸã„ã‚ã£ã¦ã¾ã™ï¼ãŸã¶ã‚“ï¼ ãã®mixiã®ä¾‹ã ã¨ã€ å…¥åŠ›ç”»é¢ â†’ (é€ä¿¡1) → 確èªç”»é¢ → (é€ä¿¡2) → 完了 ã£ã¦ãªã‚‹ã‚ã‘ã§ã™ãŒã€ ã„ãら確èªç”»é¢ãŒé–“ã«ã‚ã£ãŸã¨ã“ã‚ã§ã€ (é€ä¿¡2)ã®éƒ¨åˆ†ã‚’「å‹æ‰‹ã«ã‚µãƒ–ミットã€ã—ã¡ã‚ƒãˆã°ã„ã„ã‚ã‘ã§ã™ã€‚ ※ãŸã ã—今ã®mixiã‚„ã€ã¡ã‚ƒã‚“ã¨ã—ãŸwebサービスã¯é€ä¿¡æ™‚ã«ãƒˆãƒ¼ã‚¯ãƒ³ã‚’ã¤ã‘ã‚‹ã¨ã‹CSRF対ç–ã—ã¦ã‚‹ã®ã§ã§ãã¾ã›ã‚“ 実際ã®æ”»æ’ƒã®ä¾‹ã¨ã—ã¦ã¯ã€mixiã‚„twitterãªã©ã®å¤šãã®äººãŒç¹‹ãŒã£ã¦ã„る投稿型サイトã§ã€ 「ã“ã‚“ã«ã¡ã¯ã“ã‚“ã«ã¡ã¯ï¼ï¼ ã“ã®ãƒªãƒ³ã‚¯å…ˆã™ã”ã„ã‚ˆï¼ http://~〠ã®ã‚ˆã†ãªæ›¸ãè¾¼ã¿ã‚’ã—ã¦ãŠã〠ãã®ãƒªãƒ³ã‚¯å…ˆã§formã‚„JavaScriptç‰ã§ã€Œè‡ªå‹•çš„ã«å‹æ‰‹ã«ã‚µãƒ–ミットã€ã—ã¦ã—ã¾ã„ã¾ã™ã€‚ ç”»é¢ã«ã¯ä½•ã‚‚表示ã•ã‚Œãªãã¦ã‚‚ã‹ã¾ã„ã¾ã›ã‚“。 ãã—ã¦ã•ã‚‰ã«å‹æ‰‹ã«æ›¸ã込む内容を 「ã“ã‚“ã«
CSRF対ç–ã®ãƒˆãƒ¼ã‚¯ãƒ³ã‚’ワンタイムã«ã—ãŸã‚‰æ„図ã«åã—ã¦è„†å¼±ã«ãªã£ãŸå®Ÿè£…例
補足 ã“ã®è¨˜äº‹ã¯æ—§å¾³ä¸¸æµ©ã®æ—¥è¨˜ã‹ã‚‰ã®è»¢è¼‰ã§ã™ï¼ˆå…ƒURLã€ã‚¢ãƒ¼ã‚«ã‚¤ãƒ–ã€ã¯ã¦ãªãƒ–ックマーク1ã€ã¯ã¦ãªãƒ–ックマーク2)。 備忘ã®ãŸã‚転載ã„ãŸã—ã¾ã™ãŒã€ã“ã®è¨˜äº‹ã¯2011å¹´1月27æ—¥ã«å…¬é–‹ã•ã‚ŒãŸã‚‚ã®ã§ã€å½“時ã®å¾³ä¸¸ã®è€ƒãˆã‚’示ã™ã‚‚ã®ã‚’ã€åŸºæœ¬çš„ã«å†…容を変更ã›ãšã«ãã®ã¾ã¾è»¢è¼‰ã™ã‚‹ã‚‚ã®ã§ã™ã€‚ 補足終ã‚ã‚Š æ©‹å£èª ã•ã‚“ã‹ã‚‰ä»Šè©±é¡Œã®æ›¸ç±ãƒ‘ーフェクトPHP (PERFECT SERIES 3)を献本ã„ãŸã ãã¾ã—ãŸã€‚ã‚ã‚ŠãŒã¨ã†ã”ã–ã„ã¾ã™ã€‚ã“ã®ã‚¨ãƒ³ãƒˆãƒªã§ã¯åŒæ›¸ã®CSRF対ç–ã®å•é¡Œç‚¹ã«ã¤ã„ã¦å ±å‘Šã—ãŸã„ã¨æ€ã„ã¾ã™*1。 本書ã§ã¯ã€CSRFã®å¯¾ç–ã«ã¤ã„ã¦ä»¥ä¸‹ã®ã‚ˆã†ã«èª¬æ˜Žã•ã‚Œã¦ã„ã¾ã™ï¼ˆåŒæ›¸P338)。 CSRFã¸ã®å¯¾å¿œæ–¹æ³•ã¯ã€ã€Œãƒ¯ãƒ³ã‚¿ã‚¤ãƒ トークンã«ã‚ˆã‚‹ãƒã‚§ãƒƒã‚¯ã‚’用ã„ã‚‹ã€ã€ŒæŠ•ç¨¿ãƒ»ç·¨é›†ãƒ»å‰Šé™¤ãªã©ã®æ“作ã®éš›ã«ã¯ãƒ‘スワードèªè¨¼ã‚’ã•ã›ã‚‹ã€ãªã©ãŒã‚ã‚Šã¾ã™ã€‚一番確実ãªæ–¹æ³•ã¯ä¸¡è€…を併用ã™ã‚‹ã“ã¨ã§ã™ãŒã€ãƒ¦ãƒ¼ã‚¶åˆ©ä¾¿æ€§ãªã©ã®ç†ç”±ã‹ã‚‰ç°¡ç•¥åŒ–ã™ã‚‹å ´åˆã§
CakePHP ã® PHP コード実行ã®è„†å¼±æ€§ã‚’使ã£ã¦ CakePHP を焦ãŒã™ - co3k.org
2010/11/13 ã«å‡ºãŸã‚‰ã—ã„ http://bakery.cakephp.org/articles/markstory/2010/11/13/cakephp_1_3_6_and_1_2_9_released ã‚’èªã‚“ã§ã³ã£ãã‚Šã—ãŸã‚“ã§ã™ãŒã€ Twitter を軽ã検索ã—ãŸé™ã‚Šã 㨠CakePHP ユーザã§ãªã„僕ãŒæ°—ã¥ã„ã¦ã„ã‚‹ã®ã« (日本ã®) CakePHP ユーザã•ã‚“ãŸã¡ãŒã©ã†ã‚‚æ°—ã¥ã„ã¦ã„ãªã„ã£ã½ã„ã®ã§ã‚ã‹ã‚Šã‚„ã™ãã¾ã¨ã‚ã¦ã¿ã‚‹ã“ã¨ã«ã—ã¾ã—ãŸï¼ã€€CakePHP ã«ã¯ä»»æ„ã® PHP コードãŒå®Ÿè¡Œã§ãる致命的ãªè„†å¼±æ€§ãŒã‚ã‚Šã¾ã™ï¼ã€€å½±éŸ¿ã®ã‚るサイトçµæ§‹ã‚ã‚Šãã†ã§ã™ãŒæ‚ªç”¨åŽ³ç¦ã§ã™ï¼ ※通常リリースã®å‘ŠçŸ¥ã®ãªã‹ã«ã“ã‚“ãªè‡´å‘½çš„ãªè„†å¼±æ€§ã«é–¢ã™ã‚‹æƒ…å ±ã‚’æ€ã„ã£ãã‚Šã‚ã‹ã‚Šã«ãã書ã„ã¡ã‚ƒã†ã®ã¯ã²ã©ã„ãªã‚ã¨æ€ã†ã®ã§ã€ãƒ¦ãƒ¼ã‚¶ã®æ–¹ã¯ CakePHP ã«æ–‡å¥ã‚’言ã†ã¨ã„ã„ã¨æ€ã„ã¾ã™ã€‚僕㯠CakePHP ユーザã˜ã‚ƒãªã„
CSRFè„†å¼±æ€§å¯¾ç– - monjudoh’s diary
CSRF対ç–ã®tokenã¯ã‚»ãƒƒã‚·ãƒ§ãƒ³IDã§è‰¯ã„ ã‚»ã‚ュリティ的ã«ãƒ¯ãƒ³ã‚¿ã‚¤ãƒ トークン>セッションIDã§ã¯ãªã„。 ã¨ã„ã†è©±ãŒã€ã“ã®è¾ºã®è¨˜äº‹ã«æ›¸ã‹ã‚Œã¦ã„ã¾ã™ã€‚ é«˜æœ¨æµ©å…‰ï¼ è‡ªå®…ã®æ—¥è¨˜ - クãƒã‚¹ã‚µã‚¤ãƒˆãƒªã‚¯ã‚¨ã‚¹ãƒˆãƒ•ã‚©ãƒ¼ã‚¸ã‚§ãƒªï¼ˆCSRF)ã®æ£ã—ã„対ç–方法 é«˜æœ¨æµ©å…‰ï¼ è‡ªå®…ã®æ—¥è¨˜ - CSRF対ç–ã«ã€Œãƒ¯ãƒ³ã‚¿ã‚¤ãƒ トークンã€æ–¹å¼ã‚’推奨ã—ãªã„ç†ç”±, hiddenパラメタã¯æ¼ã‚Œã‚„ã™ã„ã®ã‹ï¼Ÿ è‚ã¯ã“ã†ã„ã†äº‹ã®ã‚ˆã†ã§ã™ tokenã¯å¤–部ã®ã‚µã‚¤ãƒˆã‹ã‚‰çŸ¥ã‚Šé›£ã„(実質知り得ãªã„)ã‚‚ã®ã§ãªã„ã¨ã„ã‘ãªã„ セッションIDã¯cookieã«æ ¼ç´ã•ã‚Œã‚‹ document.cookieã¯è‡ªãƒ‰ãƒ¡ã‚¤ãƒ³ã®ã‚‚ã®ã¨è¦ªãƒ‰ãƒ¡ã‚¤ãƒ³ã®ã‚‚ã®ã—ã‹è¦‹ã‚Œãªã„→外部サイトã§å‹•ã‹ã™JavaScriptã‹ã‚‰ã¯å‚ç…§ã§ããªã„ セッションIDã¯ã€Žæš—å·å¦çš„ã«å®‰å…¨ãªæ“¬ä¼¼ä¹±æ•°ç”Ÿæˆç³»ã§ç”Ÿæˆã•ã‚Œã¦ã„ã‚‹ã¯ãšã€(引用) 推測も事実上ã§ããªã„ 補足ã™ã‚‹ã¨ã€ã‚»ãƒƒã‚·ãƒ§ãƒ³IDを使用ã—ãŸCSRF対
ã¸ã¼ã¸ã¼CTO日記 - Plackã«ãŠã‘ã‚‹CSRFã¨DNS-Rebinding対ç–
最近ã®webã‚»ã‚ュリティ界隈ã§ã¯CSRFã‚„DNS-RebindingãŒè©±é¡Œã§ã™ãŒã€Plackã§ã‚¢ãƒ—リケーションサーãƒã‚’ç«‹ã¡ä¸Šã’ã‚‹éš›ã«ã“れらã®å¯¾ç–ã‚’ã©ã®ã‚ˆã†ã«è¡Œã†ã‹ã«ã¤ã„ã¦ã¾ã¨ã‚ã¦ã¿ã¾ã—ãŸã€‚ ã¾ãšã€CSRF対ç–ã§ã™ãŒã€æ‹™ä½œã®Plack::Middleware::RefererCheckを使ã†ã“ã¨ã«ã‚ˆã‚Šã€Refererã®ãƒã‚§ãƒƒã‚¯ã«ã‚ˆã‚‹CSRF対ç–ãŒè¡Œãˆã¾ã™ã€‚CSRF対ç–ã¨ã—ã¦ã¯ã€onetime tokenæ–¹å¼ã‚‚å˜åœ¨ã—ã¾ã™ãŒã€å€‹äººçš„ã«ã¯Refererãƒã‚§ãƒƒã‚¯ãŒå°Žå…¥ãŒæ¥½ã§å¥½ãã§ã¯ã‚ã‚Šã¾ã™ã€‚Refererã‚’é€ä¿¡ã—ãªã„クライアントを対象ã«ã—ãŸã‚µãƒ¼ãƒ“スをé‹å–¶ã•ã‚Œã‚‹æ–¹ã¯åˆ¥é€”onetime tokenæ–¹å¼ã®å¯¾ç–ã‚’ãŠã“ãªã£ã¦ãã ã•ã„。 Plack::Middleware::RefererCheckã®ä½¿ã„æ–¹ã¯ã“ã®ã‚ˆã†ã«ãªã‚Šã¾ã™ã€‚(SYNOPSYSã‹ã‚‰ã®æŠœç²‹) use Plack::Builder; builde
CSRF対ç–ã¯åŸºæœ¬? | 水無月ã°ã‘らã®ãˆã³æ—¥è¨˜
コミュニティーサイト構築ã«è©³ã—ã„専門家ã¯ã€ã€ŒCSRF対ç–ã¯åŸºæœ¬çš„ãªã¨ã“ã‚。Amebaãªã†ãŒå¯¾ç–ã—ã¦ã„ãªã‹ã£ãŸã®ã¯æ„外ã ã€ã¨è©±ã—ã¦ã„る。 「CSRF対ç–ã¯åŸºæœ¬çš„ãªã¨ã“ã‚ã€ã¨è¨€ã‚れるã¨ã€ç™ºè¦‹ã‚‚対処も容易ã§ã‚るよã†ãªå°è±¡ã‚’å—ã‘ã¾ã™ãŒã€ã“ã‚Œã¯å°‘ã—é•å’Œæ„ŸãŒã‚ã‚Šã¾ã™ã。 åŠå¹´ã»ã©å‰ã®è©±ã§ã™ãŒã€å¼Šç¤¾ (www.b-architects.com)ã®ã‚¯ãƒ©ã‚¤ã‚¢ãƒ³ãƒˆãŒæ–°è¦ã®ECサイトを立ã¡ä¸Šã’ã‚‹ã«ã‚ãŸã£ã¦è„†å¼±æ€§è¨ºæ–ã‚’ã—よã†ã¨ã„ã†è©±ã«ãªã‚Šã€å¤–部ã®ä¼šç¤¾ã«è¦‹ç©ã‚‚ã‚Šä¾é ¼ã‚’ã—ãŸã“ã¨ãŒã‚ã‚Šã¾ã™ã€‚ãã®éš›ã€æ¥ç•Œã§ã¯çŸ¥ã‚‰ãªã„人ãŒã„ãªã„よã†ãªå¤§æ‰‹ä¼šç¤¾ã®è¨ºæ–メニューも見ã›ã¦ã„ãŸã ãã¾ã—ãŸã€‚ ãã“ã§å°è±¡çš„ã ã£ãŸã®ã¯ã€æ¨™æº–ã¨ã•ã‚Œã‚‹ãƒ—ランã«CSRFã®è¨ºæ–ãŒå«ã¾ã‚Œã¦ã„ãªã‹ã£ãŸã“ã¨ã§ã™ã€‚標準ã®ã‚³ãƒ¼ã‚¹ã«ã¯XSSã‚„SQLインジェクションã®è¨ºæ–ãŒå«ã¾ã‚Œã¾ã™ãŒã€CSRFã¯ã€Œã‚¢ãƒ‰ãƒãƒ³ã‚¹ãƒ‰ã€ãƒ—ランã®æ–¹ã«ã—ã‹å«ã¾ã‚Œã¦ã„ã¾ã›ã‚“ã§ã—ãŸã€‚普通ã®ã‚µã‚¤ãƒˆã§ã¯XSSã‚„
クイズ:XSSã¨CSRFã¯ã©ã“ã«ã‚ã‚Šã¾ã™ã‹? - ockeghem's blog
å…ˆã®æ—¥è¨˜(XSSã¯ãƒ–ラウザ上ã§ã‚¹ã‚¯ãƒªãƒ—トãŒå‹•ãã€CSRFã¯ã‚µãƒ¼ãƒãƒ¼ä¸Šã§ã‚¹ã‚¯ãƒªãƒ—トãŒå‹•ã - ockeghem(徳丸浩)ã®æ—¥è¨˜)ã¯ã€ä»•è¾¼ã‚“ã ãƒã‚¿ãŒã‚ãŸã£ã¦å¤šãã®æ–¹ã«èªã‚“ã§ã„ãŸã ã„ãŸã€‚ç´°ã‹ã„内容ã«ã¤ã„ã¦ã¯ã€é ‚戴ã—ãŸæ‰¹åˆ¤ã‚„åçœã‚‚ã‚ã‚‹ãŒã€ã“ã®ãƒ†ãƒ¼ãƒžã«å¯¾ã—ã¦å¤šãã®é–¢å¿ƒã‚’集ã‚ã‚‹ã“ã¨ãŒã§ããŸã®ã¯è‰¯ã‹ã£ãŸã¨æ€ã†ã€‚今回もã€æ‰‹ã‚’変ãˆå“を変ãˆã¦ã€XSSã¨CSRFã®é•ã„を説明ã—よã†ã€‚ã¨ã„ã†ã“ã¨ã§ã€ä»Šå›žã¯ã‚¯ã‚¤ã‚ºä»•ç«‹ã¦ã«ã—ã¦ã¿ãŸã€‚ ã¨ã„ã£ã¦ã‚‚ã€éžå¸¸ã«ç°¡å˜ãªã‚¯ã‚¤ã‚ºã 。 èªè¨¼ã‚’å¿…è¦ã¨ã™ã‚‹ä¼šå“¡åˆ¶ã‚µã‚¤ãƒˆmaitter.comã§ã€å€‹äººæƒ…å ±ã‚’å…¥åŠ›ã™ã‚‹ç”»é¢ãŒã‚る。典型的ãªã€å…¥åŠ›(A)-確èª(B)-登録(C)ã¨ã„ã†ç”»é¢é·ç§»ï¼ˆä¸‹å›³ï¼‰ã‚’想定ã—ãŸå ´åˆã€ XSSãŒç™ºç”Ÿã—ã‚„ã™ã„ç”»é¢ã‚’一ã¤ã‚ã’よ CSRFãŒç™ºç”Ÿã—ã‚„ã™ã„ç”»é¢ã‚’一ã¤ã‚ã’よ ã¨ã„ã†ã‚‚ã®ã (入力画é¢ã¯åˆæœŸå…¥åŠ›ã®ã¿æƒ³å®š)。エラー時ã®æŒ™å‹•ãªã©ã¯æŒ‡å®šã•ã‚Œã¦ã„ãªã„ã®ã§æƒ³å®šã—ãªã„ã‚‚ã®ã¨ã™ã‚‹ã€‚ 解
58. ã™ã”ã„リãƒãƒ¼ãƒ‰å¯¾ç–
ã¾ãšã€æ—¥æœ¬ã®ã‚µã‚¤ãƒˆã«ã‚る一般的ãªç™»éŒ²ãƒ•ã‚©ãƒ¼ãƒ ã®ç”»é¢é·ç§»ã¯ 入力画é¢â†’入力確èªç”»é¢â†’å®Œäº†ç”»é¢ ã¨ãªã£ã¦ã„ã‚‹å ´åˆãŒå¤šã„よã†ã§ã™ã€‚ã“ã“ã§ãƒªãƒãƒ¼ãƒ‰å•é¡Œã¨ãªã‚‹ã®ã¯å®Œäº†ç”»é¢ã§ã®DBã¸ã®INSERT処ç†ã‚„CSV書ã出ã—処ç†ã€ãƒ¡ãƒ¼ãƒ«é€ä¿¡å‡¦ç†ãªã©ã€Œä¸€åº¦ã—ã‹è¡Œã‚ãªã„処ç†ã€ã§ã™ã€‚例ãˆã°å®Œäº†ç”»é¢ã¸é·ç§»ã—ãŸéš›ã«ãƒ–ラウザã®ãƒªãƒãƒ¼ãƒ‰ãƒœã‚¿ãƒ³ãŒæŠ¼ã•ã‚ŒãŸå ´åˆã€ç¢ºèªç”»é¢ã‚ˆã‚Šsubmitã—ãŸæƒ…å ±ãŒå†åº¦submitã•ã‚Œã¦ä¸Šè¨˜ã®ä¸€åº¦ã—ã‹è¡Œã‚ãªã„処ç†ãŒäºŒåº¦è¡Œã‚ã‚Œã¦ã—ã¾ã„ã¾ã™ã€‚ãã†ãªã‚‰ãªã„よã†ã€ãƒªãƒãƒ¼ãƒ‰å¯¾ç–ã¯ã‚¹ã‚¯ãƒªãƒ—トã§åˆ¶å¾¡ã—ã¾ã™ã€‚ ã¾ãšã¯ç¢ºèªç”»é¢ã®ã‚¹ã‚¯ãƒªãƒ—ト 確èªç”»é¢ã§ãƒã‚±ãƒƒãƒˆã‚’発行ã—ã€ã‚»ãƒƒã‚·ãƒ§ãƒ³ã«ä¿å˜ã—ã¦ãŠãã¾ã™ã€‚åŒæ™‚ã«å®Œäº†ç”»é¢ã¸ãƒã‚±ãƒƒãƒˆãŒPOSTã•ã‚Œã‚‹ã‚ˆã†ã€hiddenã«ã‚»ãƒƒãƒˆã€‚ã“ã†ã—ã¦å®Œäº†ç”»é¢ã¸é·ç§»ã•ã›ã¾ã™ã€‚ãã‚Œã§ã¯å®Œäº†ç”»é¢ã®ã‚¹ã‚¯ãƒªãƒ—トを見ã¦ã¿ã¾ã—ょã†ã€‚ ã“ã®ã‚ˆã†ã«ã€ç¢ºèªç”»é¢ã§ç™ºè¡Œã•ã‚ŒãŸãƒã‚±ãƒƒãƒˆã¯ä¸€åº¦ä½¿ã„切ã£ã¦ã—ã¾ãˆã°2度処ç†ã•
1
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
超絶技巧CSRF / Shibuya.XSS techtalk #7
{{#tags}}- {{label}}
{{/tags}}