新生鳩丸掲示板♯

bakera.jp > 新生鳩丸掲示板♯ > スレッド内全記事表示 (記事 3935 からのスレッド)

スレッド内全記事表示 (記事 3935 からのスレッド)

[3935] Re: 「Refererを捏造「させる」方法?」

名無し (2006年11月6日 18時21分)

http://jvn.jp/jp/JVN%2331226748/index.html

これ関係じゃないですか?

[3937] Re: 「Refererを捏造「させる」方法?」

えむけい (2006年11月7日 0時39分)

> ユーザ側の対策としては、スクリプトと ActiveX を無効にすることですかね……。

しかしCSSXSS対策とか称してhiddenフィールドにスクリプトで値を突っ込まれちゃったりなんかするともうあっちを立てればこっちが立たず状態でどうしようもありません。某「正しいCSRF対策」の初版にもそんな方法が書いてあったような。

ていうかスクリプトで任意のRefererを追加できるのですか? ちなみにXMLHttpRequestはクロスドメインで使えないので、攻撃者が攻撃対象のサイトと同じドメインでWebページをホストできるとか攻撃対象のサイトにXSSがあるとか攻撃対象のWebサーバーに侵入してページを書き換えたとかブラウザにバグがあるとかの条件が成立しないと役に立ちません。

どうでもいいですが

>> となるとCSRF対策のひとつの「正しいリファラーは許可する」というアプローチも危険ということになります。

正しいRefererも正しくないRefererもRefererなしも弾けば確かに完璧に安全ですね【謎】。

[3938] Re: 「Refererを捏造「させる」方法?」

名無し (2006年11月7日 5時29分)

その某対策の新版は方向転換したそうで。

http://www.freeml.com/message/seasurfers@freeml.com/0000303

[3941] Re: 「Refererを捏造「させる」方法?」

ばけら (2006年11月7日 14時33分)

>ていうかスクリプトで任意のRefererを追加できるのですか?

 そこは勢いだけです。ActiveX だけ無効で良いですね。

[3942] Re: 「Refererを捏造「させる」方法?」

ばけら (2006年11月7日 14時49分)

>その某対策の新版は方向転換したそうで。

>http://www.freeml.com/message/seasurfers@freeml.com/0000303

 方向転換されていますね。ただ、

>リファラーはCSRF対策では使用するべきでない。

 って、これだけ書かれても、以前の説明を読んでいない人には何のことやら分からないと思うのですが……。

 また、tDiary のように

http://www.tdiary.org/20050720.html

>・HTTPのPOSTメソッドが使われていることをチェック

>・Refererが正当なURLであることをチェック

>・フォームに埋め込まれた(攻撃者が知りえない)CSRF防止キーをチェック

 と、いくつかの対策を併用しつつ Refererチェックを行っているようなケースが実際にあるわけですが、こういうケースが不可であると言っているように読めます。

# 不可であると言っているのでしょうか?

[3943] Re: 「Refererを捏造「させる」方法?」

名無し (2006年11月7日 14時57分)

いやあすっかりあちこちで Referer は偽装されることになってきてますね。ははは。

[3951] Re: 「Refererを捏造「させる」方法?」

iwaim (2006年11月8日 14時32分)

>http://www.tdiary.org/20050720.html

>>・HTTPのPOSTメソッドが使われていることをチェック

>>・Refererが正当なURLであることをチェック

>>・フォームに埋め込まれた(攻撃者が知りえない)CSRF防止キーをチェック

>

> と、いくつかの対策を併用しつつ Refererチェックを行っているようなケースが実際にあるわけですが、こういうケースが不可であると言っているように読めます。

Refererチェックが対策になってないのだから対策として挙げることがあまり意味がないのではないかなぁ。まあ、論点ずれますけども。

[3952] Re: 「Refererを捏造「させる」方法?」

えむけい (2006年11月8日 22時18分)

>>ていうかスクリプトで任意のRefererを追加できるのですか?

>

> そこは勢いだけです。ActiveX だけ無効で良いですね。

対策案がIE向けに最適化されているのが気になりますが、Netscapeプラグイン版のFlash Playerも、少なくともWindowsのFirefox上で動作している場合にはしっかり攻略可能なようです。

最近の日記

関わった本など