Q&A
> 単なる確認だけの画面ではございません。
何をするor何ができる画面なのですか?どんな画面遷移が他にあり得るのですか?
はじめまして。
現在、以下のようなアプリケーションを作成しています。
前提として申請内容確認画面自体に削除等のボタンはあります。
(単なる確認だけの画面ではございません。)
上記の仕様の場合、CSRFの脆弱性はありますでしょうか。
と、いいますのもCSRFは確定画面へのトークン認証のみで
確認画面にトークン認証が無くても問題ないという認識を私が持っているためです。
情報不十分でしたらご質問にお答えしたいと思います。
よろしくお願いします。
回答1件
0
あくまで一般論ですが、トークンの確認が必要な画面は、確定画面のみです。したがって、ご質問のケースは問題ないと思います。
前提として申請内容確認画面自体に削除等のボタンはあります。
(単なる確認だけの画面ではございません。)
ここが気になりますが、「削除等のボタン」が配置されているだけで、削除処理は確定画面(あるいは他の画面)で行うのであれば、確認画面でのトークンチェックは不要です。
(追記)コメントに回答します。
仮に、申請内容確認画面がifameにて隠ぺいされた場合、確定画面へのリクエストは行われる可能性はございますか?
攻撃者が用意したiframeに「申請内容確認画面」が入れられたという状況でしょうか? この場合は、クリックジャッキングというCSRFとは別の攻撃が成立します。このため、iframeに入れることを拒否する設定が必要です。具体的には、x-frame-optionsというレスポンスヘッダを使います。クリックジャッキングについては、以下を参照ください。
投稿2019/06/04 21:41
編集2019/06/05 04:48
総合スコア11701
ご親切にコメントありがとうございます。仮に、申請内容確認画面がifameにて隠ぺいされた場合、確定画面へのリクエストは行われる可能性はございますか?
『申請内容確認画面がifameにて隠ぺいされた場合』というのは、(1)元々正常系としてiframeで隠蔽されている、(2)攻撃者によってiframeの中に入れられた、のどちらでしょうか? (2)ですかね。iframeの中の確認画面中のボタンが利用者がクリックするシナリオでしょうか?
(2)に該当します。しかし、利用者がクリックするお話ですとおっしゃる通りクリックジャッキングについて該当するので今回は考えてないでいきます。
■前提
以下のURLも参考にしました。
https://qiita.com/sagami1991/items/23f72ab4e6552221188a
上記のサイトはサンプルアプリを作成しており、CSRFについて端的にまとめられていますがこちらもイメージとしては確定画面への攻撃として認識齟齬ないでしょうか。
お恥ずかしいことにiframeがどのような用途で存在しているのか理解できていない次第です。。
「iframeがどのような用途で存在しているのか理解できていない」とのことですが、落ち着いて記事を読みましょう。ちゃんと書いてあります > 「iframe内でPOST送信させれば、画面遷移しないのでユーザーにばれない」
あなたの回答
tips
プレビュー
