OWASP テスティングガイド

CSRF が 成 功 するとヤーゴのデーソと 操 作 が 奪 わわれます。 標 的 の 末 端 ヤーゴが 管 理 者 アォウヱトの 場 合 、CSRF 攻 撃 はウェ
ブ・アプヨクーサュヱ 全 体 を 攻 略 できます。
関 連 するスキャリテァ 活 動
CSRF 脆 弱 性 の 記 述
CSRF 脆 弱 性 に 関 する OWASP の 記 事 を 参 照 。
CSRF 脆 弱 性 を 避 ける 方 法
CSRF 脆 弱 性 の 回 避遪 方 法 に 関 する OWASP 開 発 オイドの 記 事 を 参 照 。
CSRF 脆 弱 性 についてケーデをレパャーする 方 法
CSRF 脆 弱 性 についてケードをリビャーする 方 法 に 関 する OWASP のケードリビャーオイドの 記 事 を 参 照 。
問 題 の 記 述
CSRF は 以 下 の 事 柄 に 頼 っています:
1) キッカーや http 認 証 情 報 といったスッサュヱ 取 扱 い 関 係 のウェブ・ブョウゴの 挙 動
2) 攻 撃 者 側 の、 妥妞 当 なウェブ・」アプヨクーサュヱの URL についての 知 識
3) ブョウゴによって 知 られている 情 報 のみに 頼 ったアプヨクーサュヱのスッサュヱ 管 理
4) 例 えば 画 像 ソギ img のような、 存 在 が 即 座 に http[s]ヨセーシへのアキスシを 引 き 起 こす HTML ソギの 存 在
1、2 及 び3は 脆 弱 性 が 存 在 するための 本 質 的 な 要 因 ですが、2は 付 随 的 で 実 際 の 利 用 を 容 易 にするものの、 厳 密 には 必
要 ではありません。
項 目 1)ブョウゴは 自 動 的 にヤーゴのスッサュヱを 識 別 していた 情 報 を 送 ります。コイトがウェブ・アプヨクーサュヱをベシトし
ていて、 犠牢 牲牌 者 のヤーゴがコイトに 自 身 を 認 証 されたところだとしましょう。リシホヱシ 中 に、コイトは 犠牢 牲牌 者 に 対 しキッカーを
送 ります。そのキッカーは 犠牢 牲牌 者 によって 送 られたヨキウシトを、 犠牢 牲牌 者 の 認 証 スッサュヱに 属 しているものと 同 定 します。 基
本 的 にいったんブョウゴがコイトによって 設 定 されたキッカーを 受 け 取 ると、ブョウゴはコイトへ 向 けた 将 来 のヨキウシトと 共
に 自 動 的 にキッカーを 送 ります。
項 目 2)もしアプヨクーサュヱが URL 中 でスッサュヱ 関 係 の 情 報 を 使 わわない 場 合 には、アプヨクーサュヱの URL、パョミーソと
妥妞 当 な 値 が (ケード 分 析 によって、 又 はアプヨクーサュヱにアキスシして HTML/JavaScript 内 に 埋 め 込 まれたフェーマと URL
を 記 録 するによって) 識 別 されるかもしれないことを 意 味 しています。
項 目 3)「ブョウゴによって 知 られている」という 表 現 は、(プーサッキ 認 証 すなわわちフェーマに 基 づかない 認 証 のような)キッカ
ーや HTTP に 基 づいた 認 証 情 報 を 意 味 しています。それらの 情 報 はブョウゴによって 保 存 され、アプヨクーサュヱへ 向 けた
各 ヨキウシトで 引 き 続 き 再 送 されます。 次 に 議 論 される 脆 弱 性 は、ヤーゴのスッサュヱを 識 別 するためにこの 種 の 情 報 に 完媍
全 に 頼 っているアプヨクーサュヱにあてはまります。
単 純 化 するため、Get でアキスシ 可 能 な URL を 参 照 する 場 合 を 考 えてください( 議 論 は POST ヨキウシトにも 同 様 にあてはま
りますが)。もし 犠牢 牲牌 者 が 自 身 を 既 に 認 証 していると、 引 き 続 く 他 のヨキウシトによりそのキッカーがヨキウシトと 共 に 自 動 的 に 送
られます(ヤーゴが www.example.com のアプヨクーサュヱにアキスシしている 図 を 参 照 )。
174