CSRF

概要

[20] CSRF は、攻撃先 Webサイトの利用者を別のWebサイトから攻撃者が誘導し、攻撃先 Webサイトにおける当該利用者の権限で、利用者 (やWebサイトの著者) の意図せぬ動作を引き起こせるような脆弱性・攻撃です。

[21] 例えば次のような被害が起きることがあります。

[22] CSRF 攻撃の被害例

[23] 知らないうちに掲示板に勝手な内容で投稿してしまう
[24] 知らないうちに電子商取引サイトで商品を購入してしまう
[25] 知らないうちに SNS の足跡機能に名前を残してしまう
[26] 知らないうちに会員制 Webサイトでログイン状態にさせられてしまう

[27] 何を被害とするかは、著者と利用者の捉え方に依存するところもあります。例えばWebサイトのアクセスカウンターの数値が意図せぬ形で増加しても、迷惑ではあるが対策するほどの被害は受けていない、という認識はあり得ます。

プロトコル

[7] CSRF 対策のために使うことができるプロトコル要素には次のものがあります。

検査

[8] Origin: が対象URLの起源と同じなら、問題ありません。
- 問題があるとしたら、 CSRF 以外の脆弱性または設計の誤りです。
[9] 安全なメソッドなら、問題ありません。
- 問題があるとしたら、設計の誤りです。
[11] それ以外なら、 CSRF 攻撃でないことを確認しなければなりません。
- [15] 多くの場合は外部起源からの非安全メソッドの要求を受け入れる必要はないでしょうから、 Origin: や Referer: の起源が対象URLの起源と異なれば、誤りと判断できます。
- [10] Content-Type: が application/x-www-form-urlencoded、 multipart/form-data、 text/plain のいずれかなら、フォームから送信されたかもしれません。
- [12] Authorization: も Cookie: もないなら、 XHR などから送信されたかもしれません。
- [13] CORS preflight に返答しているなら、 XHR などから送信されたかもしれません。
- [14] auth-scheme が oauth や bearer など Webブラウザー以外のものなら、フォームから送信されたものではありません。

[17] PKP は、Webブラウザーに以上の条件に合致しない JSON データを送信させることがあります。 (report-uri 参照。)

メモ

[1] 高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 <http://takagi-hiromitsu.jp/diary/20050427.html#p01>

[2] Hixie's Natural Log: Different perspectives in the Web standards community (2009-01-24 00:39:51 +09:00 版) <http://ln.hixie.ch/?start=1232666113&count=1>

[3] 高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 (高木浩光著, 2009-09-27 22:35:44 +09:00 版) <http://takagi-hiromitsu.jp/diary/20050427.html#p01>

[4] 高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 ( (高木浩光著, 2011-02-22 10:37:01 +09:00 版)) <http://takagi-hiromitsu.jp/diary/20050427.html>

[5] 高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)対策がいまいち進まなかったのはなぜか ( (高木浩光著, 2011-02-03 19:09:35 +09:00 版)) <http://takagi-hiromitsu.jp/diary/20050703.html>

[6] 高木浩光@自宅の日記 - 暗黙的に形成する事実標準の話と回避策の話を混同してはいけない, 駄目な技術文書の見分け方その1の2 ( (高木浩光著, 2010-05-30 18:09:39 +09:00 版)) <http://takagi-hiromitsu.jp/diary/20061115.html>

[16] セキュリティ・ブラウザ環境について | ソニー (Sony Marketing (Japan) Inc. 著, 2015-06-10 15:26:55 +09:00 版) <http://www.sony.jp/Security/index.html>

ストアは、ご利用者とストアとの間でのクレジットカード番号を含むすべての通信内容に対して、SSL(Secure Socket Layer)テクノロジーによる暗号化を施すなどして合理的な範囲内でセキュリティの強化に努めておりますが、更なる安全のため、My Sony ID(もしくはストアログインID)にてログインしている間は、ストア以外のウェブサイトを閲覧されないことをお勧めいたします。
万一、他のウェブサイトを閲覧される場合には、ログアウトしていただくことをお勧めします。なお、ログアウトされた場合、30分以内にログインされないとレジの商品が削除されますのでご注意ください。

[18] Webmention (2017-01-11 04:06:01 +09:00) <https://webmention.net/draft/#h-cross-site-request-forgery>

[19] >>18 ここで例示されている「CSRF 対策」は一体誰から何を守るためのものなんだろう。。。ここに書いてある通りのことをやっても、カジュアル CSRF 攻撃に第三者を巻き込むことを若干防げる程度じゃないかな。。。

[28] How to Mitigate CSRF Using Origin Headers? (2017-06-28 13:54:47 +09:00) <http://lenxwei.blogspot.jp/2014/08/how-to-mitigate-csrf-using-origin.html>