SlideShare a Scribd company logo

20161114 よくわかるcsrf

Download as PPTX, PDF
Y
Yoshiki TAKADA

what is CSRF?

Engineering
1 of 16
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
よくわかるCSRF 実例 spin13
CSRF(クロスサイトリクエストフォージェリ) ユーザが対象のサイトのセッションを保持して いるのを利用して対象サイトでユーザの意図し ない処理をさせる(かなり語弊がある気がする)
CSRF 被害例 ・ブログ等で勝手に投稿される ・勝手にツ◯ートされる(あそこは基本的に対策されてるから 大丈夫) ・勝手に会員サイトのユーザ設定等が変えられる ・勝手にメールが送られる(こわい)
CSRF 簡単な例 POSTした内容を表示する超簡単なやつを用意
CSRF 簡単な例 めっちゃシンプル
CSRF ここに表示させれば成功ということに
CSRF こんなのを用意
CSRF
CSRF 大事なのはこの3つの行 <body onload="document.getElementById('form').submit()"> <form id="form" target="frame" method="POST" action="http://xxxxxx.com/yyy/zzz.php"> <iframe id="frame" width="1" height="1"></iframe>
CSRF <body onload="document.getElementById('form').submit()"> <form id="form" target="frame" method="POST" action="http://xxxxxx.com/yyy/zzz.php"> <iframe id="frame" width="1" height="1"></iframe> bodyが読み込まれたらformの中身をsubmitしている
CSRF 秘密のiframe
CSRF 実行するとこんな感じのができあがる
CSRF ここがそれぞれ対 象サイトのinputに 一致している必要 がある
CSRF 実際には 設定変更のPOST先にパラメータを入れ込むと勝手に設定が変更されたりす る パスワードやメールアドレスが変更されてしまうと ちゅどーん
CSRF 対策 ・hiddenでauth_tokenを仕込んで,POSTされるときにそいつをチェックされる ようにする ・セッションIDをそのままauth_tokenに入れてチェックする場合もある ※なにかしらの手段でセッションIDが漏洩したら 終わる
CSRF Refererをチェックするのも有効ではあるが,Refererを送出 しない設定にしているユーザもいる

More Related Content

ODP
Symfony2 workshop-0 (nagoya 2011/2/10)
Hidenori Goto
 
PPTX
クロスドメイン処理
Yoshifumi Sato
 
PDF
今から始めるzsh
Hideaki Miyake
 
PDF
私たちは何を Web っぽいと感じているのか
Kenta Yamamoto
 
PPTX
Lang-8 got updated on SimpleResource
Kazuki MATSUMOTO
 
PPTX
0511 lt
kataware
 
PDF
できるBGP! IHANet Meeting 11@うどん県(小豆島)でVyOSでpeerしてみた~初心者向け~
Yoshitake Takata
 
PPTX
Windowsでも使えるシェル
Tetsuya Hasegawa
 
Symfony2 workshop-0 (nagoya 2011/2/10)
Hidenori Goto
 
クロスドメイン処理
Yoshifumi Sato
 
今から始めるzsh
Hideaki Miyake
 
私たちは何を Web っぽいと感じているのか
Kenta Yamamoto
 
Lang-8 got updated on SimpleResource
Kazuki MATSUMOTO
 
0511 lt
kataware
 
できるBGP! IHANet Meeting 11@うどん県(小豆島)でVyOSでpeerしてみた~初心者向け~
Yoshitake Takata
 
Windowsでも使えるシェル
Tetsuya Hasegawa
 

Similar to 20161114 よくわかるcsrf (7)

PDF
クロスサイトリクエストフォージェリ(CSRF)とその対策
JPCERT Coordination Center
 
PDF
Cross-Origin Resource Sharing
Hiyou Shinnonome
 
PPT
20090218 第5回「PhpによるWebアプリケーションのセキュリティ入門」
Hiromu Shioya
 
PDF
SSRF基礎
Yu Iwama
 
PDF
CSRF脆弱性について
Masaaki Kakimoto
 
PPTX
安全なPHPアプリケーションの作り方2014
Hiroshi Tokumaru
 
PDF
Idcon 17th ritou OAuth 2.0 CSRF Protection
Ryo Ito
 
クロスサイトリクエストフォージェリ(CSRF)とその対策
JPCERT Coordination Center
 
Cross-Origin Resource Sharing
Hiyou Shinnonome
 
20090218 第5回「PhpによるWebアプリケーションのセキュリティ入門」
Hiromu Shioya
 
SSRF基礎
Yu Iwama
 
CSRF脆弱性について
Masaaki Kakimoto
 
安全なPHPアプリケーションの作り方2014
Hiroshi Tokumaru
 
Idcon 17th ritou OAuth 2.0 CSRF Protection
Ryo Ito
 
Ad

20161114 よくわかるcsrf