LotusNotesな日々IBM社のLotusNotesに関係する何かを日々語ってるようなきがしないでもないブログです。 

スポンサーサイト

   ↑  --/--/-- (--)  カテゴリー: スポンサー広告
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

(記事編集) http://mesosune.blog123.fc2.com/?overture" target="_new

--/--/-- | Comment (-) | HOME | ↑ ページ先頭へ |

CSRF脆弱性/Xss-その1

   ↑  2007/11/29 (木)  カテゴリー: セキュリティ
ここ数日、CSRFの脆弱性をつくのと似た手法で攻撃をする「祭り」が起こっているようです。

攻撃手法を簡単に言えば
(1)ページにアクセスしてきた時にそのユーザが持っている参照元URLやcookieの情報を取得する
(2)cookieの情報を解析しその情報を使い参照元URLにアクセス
(3)参照元URLがCSRFの脆弱性を持っている場所であれば偽のcookie情報を使用してそのユーザとしてアクセスできてしまう
というもの。

→詳細はこちらを参照:Immortal Session の恐怖[404 Blog Not Found]

ユーザ単位でできる防衛としては
(1)マメにログオフする
(2)一時ファイルの領域を小さくしておく
(3)ブラウザをこまめに落とす
(4)仕事用のPCではサイト巡回をしない(笑)

しかし、
Dominoは6.5からXSSの問題は解決しているとはなっているものの[IT media]
・別サイトにアクセスしてから戻っても操作できる
・別ブラウザを開いて別IDで操作しても、前に開いているブラウザがログアウトしない
デフォルトの状態ではその脆弱性を持っているようだ。
(私の環境がたまたま解決の対応をしていないままで続行している可能性もありますが)

いくらユーザにアングラサイトにアクセスしないでくださいと言っても
操作ミスなどにより意図せずにそういったサイトにアクセスしてしまうこともある。

Web開発者は常に脆弱性を理解したうえで意図して組み込みによる回避を行わなければならないのです。

Cross-Site Request Forgeries(クロスサイトリクエストフォージェリ)
略名:CSRF(シーサーフ)

Webサイトに悪意のあるコードを仕込むことによって、
閲覧者に意図せず別のWebサイト上への何らかの操作(掲示板への書き込みなど)を行なわせる攻撃手法。

mixiで2006年に起きた「ぼくはまちちゃん」で有名になった攻撃手法で、
ユーザはCSRFの仕込まれたサイトにアクセスすることによって、
直接開いてもいない特定の掲示板やアンケートなどに書き込まされたり、オンラインショップで買い物をさせられたりしてしまう。
アクセスしただけで実行されてしまうため、ユーザが閲覧前に危険が無いかを調べて回避するのは現実的には難しい。

開発者側側(サーバーサイド)でCSRFを防ぐには、
・サイト外からのリクエストの受信を拒否
・ヘッダに含まれる情報を元に参照元が正規のページかどうかをチェック
・フォームの一部にランダムな数値を隠しておいてアクセスの一貫性をチェック
・画像として表示したチェックコードの入力をユーザに要求する(画像はコンピュータが読み取れない)
などがあり、これらを組み合わせて対策を講じる必要がある。

参照リンク:
クロスサイトリクエストフォージェリ[Wikipedia]
まこと先輩と星野君とCSRFの微妙な関係[@IT]
開発者のための正しいCSRF対策
クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法[高木浩光@自宅の日記]
スポンサーサイト

(記事編集) http://mesosune.blog123.fc2.com/blog-entry-32.html

2007/11/29 | Comment (0) | Trackback (0) | HOME | ↑ ページ先頭へ |
この次の記事 : CSRF脆弱性/Xss-その2
この前の記事 : 拍手が!拍手がヽ(*´▽`)ノ

Comment

コメントを投稿する 記事: CSRF脆弱性/Xss-その1

お気軽にコメントをぞうぞ。
非公開 (管理人のみ閲覧可能なコメント) にしたい場合には、ロック にチェックを入れてください。

  任意 : 後から修正や削除ができます。
  非公開コメントとして投稿する。(管理人にのみ公開)
 

Trackback

この次の記事 : CSRF脆弱性/Xss-その2
この前の記事 : 拍手が!拍手がヽ(*´▽`)ノ
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。