HTTPã®åœ§ç¸®æ©Ÿèƒ½ã‚’用ã„ã¦ã€HTTPS上ã®é€šä¿¡ã‚’ã¿ã¦CSRF tokenãªã©ã®ç§˜å¯†ã‚’推測ã™ã‚‹ã“ã¨ãŒã§ãã‚‹ã¨ã„ã†è„†å¼±æ€§ã€‚
以å‰CRIMEã¨ã„ã†è„†å¼±æ€§ãŒã‚ã£ãŸã®ã ãŒã€ã‚ã‚Œã¯HTTPSã®åœ§ç¸®æ©Ÿèƒ½ã¨ã„ã†ã‚ã¾ã‚Šä½¿ã‚ã‚Œã¦ã„ãªã„機能を用ã„ã¦ã„ãŸã®ã§ã€ãã®æ©Ÿèƒ½ã‚’オフã«ã™ã‚Œã°ã‚ˆã‹ã£ãŸã€‚
ã—ã‹ã—ã€ä»Šå›žã®ã¯HTTP上ã®gzip圧縮ãªã©ãŒè©²å½“ã™ã‚‹ã®ã§ä½¿ã£ã¦ã„ã‚‹ã¨ã“ã‚ã¯å¤šãã†ãªã®ã§ã€ãªã‹ãªã‹ã‚ªãƒ•ã«ã¯ã—ã¥ã‚‰ã„。ãã—ã¦ãれ以外ã®å¯¾ç–ãŒCSRF tokenã®ç”Ÿæˆæ–¹æ³•ã‚’変更ã™ã‚‹ãªã©ã‚ã‚“ã©ãã•ã„ã®ã§å¯¾ç–ãŒã¨ã‚Šã«ãã„。
ãŸã ã—ã€æ”»æ’ƒè€…ã¯ãƒ¦ãƒ¼ã‚¶ã®HTTPS通信を盗è´ã§ãã€ã‹ã¤ã€æ”»æ’ƒè€…ãŒãƒ¦ãƒ¼ã‚¶ã«è„†å¼±æ€§ã®ã‚るサイトã«HTTPリクエストをé€ä¿¡ã•ã›ã‚‹ã“ã¨ãŒã§ããªã‘ã‚Œã°ãªã‚‰ãªã„ã®ã§ã€ãã“ã¾ã§å•é¡Œè¦–ã—ãªãã¦ã‚‚ã„ã„ã®ã‹ã‚‚。
攻撃方法
GET /hoge?foo=XXXXXX
を実行ã™ã‚‹ã¨
<html> ... <a href=/fuga?bar=XXXXX> .. <a href=/heso?canary=61BAAES23CA89213> ... </html>
ã¨ã„ã†ãƒ¬ã‚¹ãƒãƒ³ã‚¹ãƒœãƒ‡ã‚£ã‚’è¿”ã™ã‚ˆã†ãªã‚µã‚¤ãƒˆã‚’想定ã—ã¦ã„る。ã“ã“ã§ã€ãƒ¦ãƒ¼ã‚¶ãŒå…¥åŠ›ã•ã‚ŒãŸXXXXXãŒãƒ¬ã‚¹ãƒãƒ³ã‚¹ãƒœãƒ‡ã‚£ã«ãã®ã¾ã¾è¡¨ç¤ºã•ã‚Œã¦ã„る。ã¾ãŸã€canary=以下ã¯æ”»æ’ƒè€…ãŒå–å¾—ã—よã†ã¨ã—ã¦ã„ã‚‹CSRF tokenã§ã‚る。
gzipãªã©ã®åœ§ç¸®ã‚¢ãƒ«ã‚´ãƒªã‚ºãƒ ã¯åŒã˜æ–‡å—列ãŒã‚ã‚Œã°åœ§ç¸®å¾Œã®ã‚µã‚¤ã‚ºã¯å°ã•ããªã‚‹ã€‚ゆãˆã«ã€id=ã®éƒ¨åˆ†ã«ã€Œcanary=5ã€ã¨å…¥ã‚ŒãŸæ™‚より「canary=6ã€ã¨å…¥ã‚ŒãŸæ™‚ã®æ–¹ãŒã‚µã‚¤ã‚ºã¯å°ã•ããªã‚‹ã—ã€ã€Œcanary=63ã€ã¨å…¥ã‚ŒãŸæ™‚より「canary=61ã€ã¨å…¥ã‚ŒãŸæ™‚ã®æ–¹ãŒã‚µã‚¤ã‚ºã¯å°ã•ããªã‚‹ã€‚ã“ã®ã‚ˆã†ã«å…¥åŠ›ã‚’変更ã—ã¤ã¤ã‚µã‚¤ã‚ºã®å¤§å°ã‚’観察ã™ã‚‹ã“ã¨ã«ã‚ˆã‚Šã€å¾ã€…ã«æ£è§£ã¨ãªã‚‹CSRF tokenã«è¿‘ã¥ã‘ã‚‹ã“ã¨ãŒã§ãる。
攻撃方法ã¯ã ã„ãŸã„上記ã®ã‚ˆã†ãªå†…容。CRIMEã‚‚ã»ã¼åŒã˜å†…容ã¿ãŸã„ã§ã€HTTPSã ã‘ã§ãªãã€HTTPã®åœ§ç¸®æ©Ÿèƒ½ã§ã‚‚ã§ãã‚‹ã ã‚ã†ã¨ã„ã†ã“ã¨ã¯ã“ã‚Œã¾ã§ã‚‚言ã‚ã‚Œã¦ã„ãŸã£ã½ã„。
ãŸã ã€å®Ÿéš›ã¯åŒã˜æ–‡å—列ãŒã‚る時ã ã‘サイズãŒå°ã•ããªã‚‹ã‚ã‘ã§ã¯ãªãã€ãƒãƒ•ãƒžãƒ³ç¬¦å·åŒ–ã«ã‚ˆã£ã¦ã‚‚å°ã•ããªã‚‹ã®ã§ã€å¿…ãšã—ã‚‚æ£è§£ã®æ™‚ã®ã¿å°ã•ããªã‚‹ã‚ã‘ã§ã¯ãªã„。ãŸã ã—ã€ãã®å ´åˆã®å¯¾ç–ã‚‚è«–æ–‡ã«ã‹ã‹ã‚Œã¦ã„る。
