P183について/セッション変数によりパラメータを渡している場合

[K T]

お世話になります。

なぜ、セッション変数の場合はタイミングを見計らう必要があるのでしょうか？

セッション変数が格納されるまでに時間が必要だからという認識でしょうか？

[徳丸浩]

徳丸です。こんにちは。

お返事が遅くなりましたが、「セッション変数が格納されるまでに時間が必要だからという認識」であっています。

2024年9月24日(火) 11:01 K T <busy...@gmail.com>:

お世話になります。

なぜ、セッション変数の場合はタイミングを見計らう必要があるのでしょうか？

セッション変数が格納されるまでに時間が必要だからという認識でしょうか？

--
このメールは Google グループのグループ「「体系的に学ぶ 安全なWebアプリケーションの作り方」サポートML」に登録しているユーザーに送られています。
このグループから退会し、グループからのメールの配信を停止するには wasbook-reade...@googlegroups.com にメールを送信してください。
このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/wasbook-readers/CA%2BQM8ton052gTiw7BSGDFTZ4J5GJN_DN8LJ8vUni9CJR6Zuofg%40mail.gmail.com にアクセスしてください。

--

徳丸浩 htok...@gmail.com

[K T]

回答ありがとうございます！

認識した通りでよかったです。

追加の質問がございます。

P179 図4-41 CSRF攻撃によりパスワードを変更させる

について

なぜ、CSRFを行う時は攻撃対象サイトとは別のサイトから攻撃するのでしょうか？

攻撃対象サイト上でCSRF攻撃をすれば、ログインをしていますし、Cookieにsamesiteが設定されていても攻撃が通ると思います。

攻撃例で言うと、攻撃対象サイト上に退会処理をさせる様なリンクを置いて、被害者に踏ませることを想定しています。

2024年10月2日(水) 23:16 徳丸浩 <htok...@gmail.com>:

このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/wasbook-readers/CANJDpr-XgMeb9Jn1NfOQFvjrPQg2yAYZgpXN6QoGVTqr5WWN1w%40mail.gmail.com にアクセスしてください。

[徳丸浩]

徳丸です。こんにちは。

> なぜ、CSRFを行う時は攻撃対象サイトとは別のサイトから攻撃するのでしょうか？

> 攻撃対象サイト上でCSRF攻撃をすれば、ログインをしていますし、Cookieにsamesiteが設定されていても攻撃が通ると思います。

攻撃対象サイト上でCSRF攻撃するということは、対象サイトに罠ページを設置しなければなりませんが、それには別の脆弱性がないとできません。対象サイトに罠のページを設置できる状況では、すでに改ざんができるということですし、多くの場合、改ざんができるような危険な脆弱性があれば、わざわざCSRF攻撃をすることなく、攻撃者の目的を達してしまいます。

クロスサイトスクリプティング(XSS)脆弱性でも罠を作ることができますが、この場合も、CSRFを併用することはなく、XSS単体でCSRF攻撃相当のことができます。

2024年10月3日(木) 7:00 K T <busy...@gmail.com>:

このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/wasbook-readers/CA%2BQM8toLtu2suPKO-e5wOPYxwzSG-v7ou%3DF08vZsXRp7NbENaA%40mail.gmail.com にアクセスしてください。

--

徳丸浩 htok...@gmail.com

[K T]

徳丸様

回答ありがとうございます。

攻撃対象サイト上でCSRF攻撃するということは、対象サイトに罠ページを設置しなければなりません

>>上記の文についてですが

攻撃対象罠サイトを設置しないで

仮にTwitterの様な掲示板機能を持つサイトに退会処理URLを書き込み、被害者に踏ませ、CSRFを行う場合はわざわざ罠サイトを経由しないで良いと考えました。

この様なことは現実的にあるのでしょうか？

(CSRF対策がされていない全体での話しです)

2024年10月3日(木) 8:32 徳丸浩 <htok...@gmail.com>:

このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/wasbook-readers/CANJDpr-Q-JpyKYiPm0wfHE0d%3DcyOXFCOhjGdywb%2BHqDgzSrLSQ%40mail.gmail.com にアクセスしてください。

[徳丸浩]

徳丸です。こんにちは

> 攻撃対象罠サイトを設置しないで

> 仮にTwitterの様な掲示板機能を持つサイトに退会処理URLを書き込み、被害者に踏ませ、CSRFを行う場合はわざわざ罠サイトを経由しないで良いと考えました。

Twitterや掲示板などに、退会処理のURLを投稿して、利用者がそのURLをアクセスしたら退会してしまうということですね。

そのような可能性は、なくはないのですが、比較的マレであると思います。

というのは、CSRFが問題になるような機能は、POSTリクエストを用いるべきだからです。POSTリクエストを発行するには単なるリンクというわけにはいかず、罠サイトをどこかに設置する必要があります。

とはいえ、GETで更新処理を行えるサイトもたまにあるので、そういう場合はできるでしょうね。その場合は *クロスサイト*リクエストフォージェリ とは呼ばない気がしますが、ともかくGETで更新処理ができること自体がそもそもまずいということになります。

2024年10月3日(木) 9:21 K T <busy...@gmail.com>:

このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/wasbook-readers/CA%2BQM8tpSuZY9vJY4JhMWfs_CqEP%2BAQYtjvFUaZ2rhGb458RGBg%40mail.gmail.com にアクセスしてください。

--

徳丸浩 htok...@gmail.com

[K T]

徳丸様

回答ありがとうございます。

理解しました。

結局、CSRFをやるにはPOSTさせないとダメで同一サイトで罠サイトを作る必要がある。 もし、作れる環境ならすでにそのサイトは改竄されてるからわざわざCSRFをやらなくても良いということですね。

2024年10月3日(木) 10:05 徳丸浩 <htok...@gmail.com>:

このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/wasbook-readers/CANJDpr8Rmy93kkekG%2BZzGE6BL5wwqMB18yYx31ruo1nMeYyNmw%40mail.gmail.com にアクセスしてください。