自分への戒めのためのメモ(CSRF編)

「サービスを作るのは大事だけどユーザーに迷惑かけちゃいけない」


バグがあってもセキュリティに問題があってもいけない。

昨日はCSRFのことがふっとド忘れしまったので、ここに書いておいて忘れないようにする。
歳を取っているという証拠かw

CSRF: クロスサイトリクエストフォージェリ
具体例として、掲示板に意図しない書き込みをさせられたり、オンラインショップで買い物をさせられたりするなどの被害が起こる。



攻撃の大まかな流れは以下の通り。 

簡単な HTML を例示して、その原理を具体的に解説する。
1.攻撃者が、攻撃用の Web ページを作成して WWW 上に公開する。
(WWW上ででなくとも、未対策のHTMLメーラーにウェブページをHTMLメールとして送信するだけでもよい。) 
2.第三者が、攻撃用の Web ページにアクセスする。
3.第三者は、攻撃者が用意した任意の HTTP リクエストを送信させられる。 
4.送信させられた HTTP リクエストによって、攻撃者の意図した操作が行われる。
(ここで「第三者」とは、被攻撃サイトに意図せずアクセスさせられると言う意味で用いている。)
(Wikipediaより引用)

iframeでbody onloadでフォームにsubmitするようなhtmlを読ませて自動的に掲示板に書き込みを行わせる等が例としてあげられていた。

利用者側の対策としては、Cookieに依存した攻撃があるのでCookieをこまめに破棄することとか。

サイト運営者側の対策としては、
第三者が知り得ない情報をフォームに入力させる(あるいはフォームの hidden パラメータに設定しておく)というのが基本的な対策方針である。  
ここで利用する第三者が知り得ない情報は、推測されにくい文字列であり、かつ総当り攻撃に対して耐性がある必要がある。具体的には以下の方法が挙げられる。
認証情報を入力させる
認証制の Web システムの場合、入力フォームにユーザIDとパスワードを含めるという方法がある。システムの利用者から見れば、既にログイン画面で認証を行っているため冗長な操作であるが、クロスサイトリクエストフォージェリの対策としては最も効果がある。 
ワンタイムトークンを利用する
入力フォームに、第三者に推測されにくい文字列を hidden パラメータとして指定しておき、フォームの情報を受け取る段階でそのパラメータの整合性をチェックするという方法である。そのパラメータが整合性のチェックでしか使われない一時的なデータであることが多いために「ワンタイムトークン」と呼ばれる。但し、第三者が知り得ない情報として有効である限りは、必ずしも「ワンタイム」である必要は無い。 
また、CAPTCHAなどが対策として挙げられる文献もあるが、このようなチューリングテストボットによる分散・多発型攻撃への一般的な対策であり、必ずしも推測されにくい文字列であることや、総当り攻撃に対して耐性があることを保証するものではないため、CAPTCHAで表示される文字列について別途セキュリティ的な観点で評価する必要がある。
(Wikipediaより引用)

ということでした。

hiddenパラメータはjsからでもsubmitされたらpostされるんじゃないのか?という疑問があるから
個人的に対策としては認証かワンタイムパスワードかCAPTCHAを使うことにします。

悪さしようと思えばできそうな気もするし。

それに僕はReCAPTCHAが好き。

コメント

コメントを投稿

このブログの人気の投稿

perlのMIME::Liteならメール送信はすぐ書ける。その2

メール送信のモジュールMIME::Liteを利用してそういえばこんなの作りました。のコード。 PHPMailerと比較してPerlは結構コーディングが楽だと感じました。 #!/usr/bin/perl # # $Id: perlmailer.pl 35560 2010-05-29 01:08:30Z watanabefg $ # use strict; use warnings; use Encode; use utf8; use MIME::Lite; use File::Basename; my $mail_from = $ENV{'MAIL_FROM'}; my $mail_to = $ENV{'MAIL_TO'}; my $mail_subject = decode('shiftjis', $ENV{'MAIL_SUBJECT'}); my $mail_body = decode('shiftjis', $ENV{'MAIL_BODY'}); my @mail_attach = (); my $message = MIME::Lite->new( From => $mail_from, To => $mail_to, Subject => encode('MIME-Header-ISO_2022_JP', $mail_subject), Type => 'multipart/mixed', ); # メール本文 $message->attach( Type => 'text/plain; charset="ISO-2022-JP"', Data => encode('ISO-2022-JP', $mail_body), ); # 添付ファイルを取得 if ($ENV{'MAIL_ATTACH'} ne ""){ @mail_attach = split(/\,/, $ENV{'MAIL_ATTACH'}); } if ($#m
続きを読む

GAEでOAuthというかTwitter認証してみた。

イメージ
結構てこずりましたが、Google App Engine for Pythonで OAuth認証というかTwitter認証をしてみました。 Softbankの夏モデル携帯でTwitterが機能の一つとして入っているものが発表され、 これからTwitterの人口はどんどん増えるはずなので、 OpenIDみたいな統合認証のようにOAuthを使えたらなぁという思いでコーディングしてみました。 元ネタは サンプルコードで分かるGAE&Twitter API開発 。 その節はお世話になりました。 oauth.py, simple_cookie.pyなどは上記のリンク先から取得してください。 verify後にリロードするとバグっていたので、self.redirect('/')で直しました。 #!/usr/bin/env python # -*- coding:utf-8 -*- __author__ = "Hironori Watanabe" import time import datetime import logging import os import oauth import wsgiref.handlers from google.appengine.ext import webapp from google.appengine.ext.webapp import util from google.appengine.ext.webapp import template from simple_cookie import Cookies from google.appengine.ext import db _DEBUG = True INDEX_TEMPLATE_NAME = 'index.html' LOGIN_TEMPLATE_NAME = 'login.html' HOME_TEMPLATE_NAME = 'home.html' # twitterのconsumer_keyとconsumer_secret_keyを指定 CONSUMER_KEY = "xxxxx自分のコンシューマキーを入れてねxxxxx" CONSUM
続きを読む

Pray For Japanのまとめページつくりました。

昨日の昼から津波すごい威力だなーと思い、 #prayforjapan の TL を見てました。 朝から @naomi schneider さんから twitter をやっていない方にも伝えたいというメッセージをもらい、 少しでも被災者の方の励みになればと思い、 自己満足かもしれませんが一緒にページを作りました。 Pray For Japan 皆さんRTお願いします!
続きを読む