質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.76%

  • Java

    13164questions

    Javaは、1995年にサン・マイクロシステムズが開発したプログラミング言語です。表記法はC言語に似ていますが、既存のプログラミング言語の短所を踏まえていちから設計されており、最初からオブジェクト指向性を備えてデザインされています。セキュリティ面が強力であることや、ネットワーク環境での利用に向いていることが特徴です。Javaで作られたソフトウェアは基本的にいかなるプラットフォームでも作動します。

  • HTML

    8336questions

    HTMLとは、ウェブ上の文書を記述・作成するためのマークアップ言語のことです。文章の中に記述することで、文書の論理構造などを設定することができます。ハイパーリンクを設定できるハイパーテキストであり、画像・リスト・表などのデータファイルをリンクする情報に結びつけて情報を整理します。現在あるネットワーク上のほとんどのウェブページはHTMLで作成されています。

CSRF対策の実装を理解したい

解決済

回答 3

投稿 編集

  • 評価
  • クリップ 3
  • VIEW 769

k499778

score 495

現在Webアプリを作っていてCSRF対策を実装します。

作りとしてトークンを設定する方法なのですが、いまいちなぜその実装をするとなぜ不正リクエストを防げるのか理解できていません。
その理解の手助けをしていただきたいです。

実装といたしましては、初期表示時にHTMLにトークンをhiddenで設定し、また同じ値をサーバーサイドでsessionで管理します。
更新ボタン押下後、HTMLのトークンをサーバーサイドに渡し、sessionで管理しているトークンの値と一致していれば処理を進めて、一致していなければエラーで返します。

ただそうすることでなぜCSRF対策になっているのかわかっていません。

私の知っているのCSRFによる攻撃の事例は、「はまちゃん問題」のようにmixiで不正なURLが表示されていてそれを踏んだユーザーが日記を投稿してしまうというものです。あとは悪質なページが用意されていてそこに遷移させられるといったような。

hidden値を書き換えられた時にちゃんとエラーになる実装ではあると思うのですが、
上記の事例がなぜ防ぐ理由になるかわかりません。

もし分かる方がいらっしゃれば教えていただきたいです。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 3

checkベストアンサー

+3

https://teratail.com/questions/108091
での回答の繰り返しになります。すべてのセキュリティ対策に共通のことですが、対象となる脅威について具体的に考えて見る必要があります。

 脅威

CSRF攻撃によってユーザの意図しない更新処理が行われてしまう。

 方法

以下の手順が成立すると攻撃が成功する

  1. ユーザが攻撃対象のサイトにログインする(ブラウザに Cookie がセットされる)
  2. 悪意のあるサイトの運営者がユーザに攻撃ページを開かせる
  3. 攻撃ページに隠しの form を埋め込みスクリプトで submit する→このフォームは更新処理を行うPOSTであり、Cookieも付与されているので、攻撃対象のサイトがリクエストを受け入れてしまい、更新が行われてしまう

ここで、注意が必要なのは、 1. の手順でユーザがログインしている場合にのみ攻撃が成立するという点です。悪意のあるサイトを踏ませてもユーザがログインしていなければ未認証のエラーになるだけです。

 防御方法

実装といたしましては、初期表示時にHTMLにトークンをhiddenで設定し、また同じ値をサーバーサイドでsessionで管理します。
更新ボタン押下後、HTMLのトークンをサーバーサイドに渡し、sessionで管理しているトークンの値と一致していれば処理を進めて、一致していなければエラーで返します。

このとおりです。ここで、「サーバサイドで session で管理します」となっていますが、その session はユーザがログインしたときに作られたものであり、ログイン時にブラウザにセットされた Cookie に結び付けられています。CSRF攻撃はこのCookieが悪意のあるサイトからのリクエストにも付与されることで成立しますのが、 session に結び付けられているトークンの値を外から知ることはできないので、上記手順で防御できるわけです。

もう一点、この防御方法が前提としているブラウザの仕様があります。それは、CSRF攻撃で単発のリクエストを発行することはできても、その結果を参照したり操作したりすることはできないということです。「初期表示時にHTMLにトークンをhiddenで設定し」→「更新ボタン押下後、HTMLのトークンをサーバーサイドに渡す」の2つのリクエストを攻撃サイトが連続して発行することができてしまうと、上記防御は成り立ちませんが、初期表示のリクエストはできても、そこから(たとえば、 javascript から form の submitするなどにより)「更新ボタン押下」を実行することはできません。従って、悪意のあるサイトからトークンの入ったリクエストを送ることはできないわけです。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/01/17 18:47

    回答ありがとうございます。丁寧に書いてくださって感謝いたします。熟読します。

    キャンセル

+1

  • 「予め罠を仕掛けたページ」にフォームを用意しておき、アクセスされた瞬間JavaScriptでサブミットする手法の場合
    たとえ罠ページでトークンの値をセットしても、サーバーにトークンの値がセットされていないのでリクエストは通らず、セッションの値と送られてきた値を検証するときにはじかれます。確かこっちがmixiの件で使われた方法だったと思います(違ったらすいません)。

  • iframeを使う場合
    CORSの制約でそもそも困難かなと思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/01/17 18:47

    回答ありがとうございます。
    悪質ユーザーが値を設定するのはフロント側なんですね。(もちろんサーバー側までは触れないため)
    そこに我々が設定したのと同じトークンを設定するということですか。あるいはもっと大量のトークンを用意して。
    悪質ユーザーは彼らが作ったサーバー側に飛ばすことはできないんですか?

    キャンセル

  • 2018/01/17 20:25

    > そこに我々が設定したのと同じトークンを設定する
    攻撃対象のページにアクセスしたときのトークンが予測できるのであれば、攻撃が成立するケースもあります。

    > あるいはもっと大量のトークンを用意して...
    大量のトークンを用意して総当りのようなことも可能だと思いますが、トークンの文字数によっては組み合わせが膨大になるなど、効率の面で不都合があるため現実的ではない方法だと思います。

    キャンセル

  • 2018/01/18 07:57

    回答ありがとうございます。現実的ではないんですね。理解しました。

    キャンセル

0

つhttps://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/301.html

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/01/16 07:51

    資料提供ありがとうございます。しかし、やはりわかりづらい部分があります。質問の趣旨である、セッションidとHTMLのidを使う意図が理解しきれていません。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.76%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • Java

    13164questions

    Javaは、1995年にサン・マイクロシステムズが開発したプログラミング言語です。表記法はC言語に似ていますが、既存のプログラミング言語の短所を踏まえていちから設計されており、最初からオブジェクト指向性を備えてデザインされています。セキュリティ面が強力であることや、ネットワーク環境での利用に向いていることが特徴です。Javaで作られたソフトウェアは基本的にいかなるプラットフォームでも作動します。

  • HTML

    8336questions

    HTMLとは、ウェブ上の文書を記述・作成するためのマークアップ言語のことです。文章の中に記述することで、文書の論理構造などを設定することができます。ハイパーリンクを設定できるハイパーテキストであり、画像・リスト・表などのデータファイルをリンクする情報に結びつけて情報を整理します。現在あるネットワーク上のほとんどのウェブページはHTMLで作成されています。