CSRFで強制ログインさせるというアイデア - ぼくはまちちゃん！

こんにちはこんにちは！！ 今日はCSRF脆弱性のちょっとした話です！ このCSRFってなにかっていうと、 サーバーへのリクエストを『誰かに勝手に送らせる』っていうセキュリティがらみの攻撃手法のひとつ。 わかりやすい例だと、 HTMLの画像タグを以下のようにしたページを誰かに教える。 <img src="何々SNSの足跡.php" width="1" height="1"> そうすると、そのページを「見た人」が何々SNSの足跡.phpにアクセスしたことになる。 ※詳しくはこちらのマンガで → ［はまちちゃんのセキュリティ講座］ここがキミの脆弱なところ…！ ： 第2回 しーさーふって何ですか？ CSRFってこんな風に、 「ログイン済みの人に何か操作させる」ってイメージが強くて、 対策する側もまた、「既にログイン済みの人を守る」ような考えが強いんだよね。 例えば、勝手に日記に投稿させないように対

[Hamachiya2]

にっきかいた→「CSRFで強制ログインさせるというアイデア」

[jaguarsan]

むしろ不正アクセスで嵌められるのがヤバくね？

[K-Ono]

『(結論) ログインのフォームもCSRF対策したほうがいいよ。』さすがのお兄ちゃんも実証はすまいと思った模様なのでこれはやばい。

[totttte]

さすがはまちおにいちゃん！

[mame-tanuki]

怖い怖い＞「ちなみにdropboxも強制ログインさせること可能だよ」

[Zarathustra1951-1967]

で、このページを見ると、どこに勝手にログインさせられるんだろう？

[AmaiSaeta]

"「違うアカウントで、大事なメールを送信」、「違うアカウントで、秘密の写真をアップロード」 " | (ふと思ったんだが、「CSRFで強制ログイン」が出来るのならば、「CSRFで強制アカウント作成」も出来るんかな……)

[otchy210]

アイコン設定とかが防止策みたいな話も思ったけど、これ一番怖いのは対象のサービスの画面を一度も見せることなく、攻撃を完了させられる点だなー。ログインは POST のみでトークン付きって対策がよさげ。

[pochi-p]

罠しかけられたサイトを見たら「いつの間にか誰かのアカウントにログインしていて不正アクセスで逮捕されていた。ログイン履歴に俺のIPがあった。何を言ってるのか（ｒｙ」ってなるんですねgkbrです。

[ka-ka_xyz]

？？？ POSTじゃなくてGETでログインできるのかな一般的に・・・と思って少しググったらJSでクロスドメインポストする方法が山ほどヒットして藁田

[kurakano]

ユーザー入力は関係なく、事前にログインできることが確認できているID/PASSをJSでクロスサイトPOSTすることで裏側でユーザーが知りもしないサービスにログインさせることができる。と理解。個人情報の取得はなさそう

[kobake]

なかなかよくできたホラーですな。夏に読みたかった。

[tarchan]

＞今は「どのサイトも誰かを違うアカウントでログインさせ放題」の状態

[mainyaa]

ん、ユーザー側でもブラウザの3rd party cookieを拒否する設定にすれば対策できるよね？

[tmf16]

ブックマークレットとか使って投稿してると危ないね

[rryu]

変則的なセッション固定攻撃っぽい雰囲気。むしろアカウント固定攻撃？

[hodade]

勝手に違うアカウントでログインしたとして、TLとかマイホームとか見た瞬間異変に気づいて投稿しないでしょう？

[diveintounlimit]

サラっと怖いことが書いてあった。

[coinlocker]

ログインさせてIPを取得という罠は見たことがある。

[dai_hi_saru]

CSRFで強制ログインさせるというアイデア - ぼくはまちちゃん！(Hatena)

[TakayukiN627]

(結論) ログインのフォームもCSRF対策したほうがいいよ。

[been35689y220]

捗るけど、コミュニケーションにかける場合があるということなのか‥ ひととコミュニケーションをとるには、民主的なリーダーの方程度維持 とか‥

[tatsunop]

あまりよく分かってないのだけど、ログイン後の画面の情報だけは正規のものに似せて名前とかアイコンを取得して、でも実際は別のアカウントってことはできるのかな。そうするとユーザーはお手上げっぽいけど。

[canadie]

これはすなわちログアウト時もCSRFチェック掛けろってことですな。

[prometheus3000]

わからん、入力画面1一枚でログインするのをのっとるとすればCSRFではなく単なるフィッシングにカテゴリーされるのでは？

[tiadeen2]

1回読んだだけだと何となくしか分からなかったけど、やっと理解。ログインのCSRF対策と、フェールセーフとして書き込む・ULする時にはアカウント名/アイコンを出してあげるのがヨサゲ。

[stealthinu]

ダミーアカウントにログインさせてしまい、ユーザが気が付かずに写真などデータをアップロードして漏洩させることを狙う。手法が手軽で暴露系に向く手法だから愉快犯が使うようになるかも。

[azure-frogs]

ログインのフォームのCSRFって例えばスマホでもありうるのかな

[nekobosi]

お、おお

[warriorking]

CSRFで強制ログインさせるというアイデア - ぼくはまちちゃん！(Hatena)

[bearide]

『実はログインのフォームって、だいたいのサイトでCSRF対策してないんだよね。』 『知らない間に違うアカウントでログインしていて、大事な写真やファイルが流出…』

[kenichiice]

「(結論) ログインのフォームもCSRF対策したほうがいいよ。 」

[gedroid]

ブラウザのCookieを毎回削除する設定にしてるからあまり関係ないかな。いきなりログイン状態になるだけで異変に気づく。

[itochan]

ログアウトしているからこそ他人のアカウントにログインさせることができるのかな？　ログインしていると自分のアカウントに被害、ログアウトしていると罠アカウントにて被害なら、どうすればいいの？

[timetrain]

いつの間にか、他人の役目をさせられる、か。そういえば今誰としてログインしているかなんて考えていなかった

[kirishima2813]

これが「ネタ」で語られてるうちはまだいいけど、「実装」されちゃうと正直恐ろしい。虚構新聞のネタ遊びどころの問題ではない。