Q&A
ハッキング体験アプリ作成しており(公開はしません)、CSRF部分を今しています。
手順はindex.phpでsessionID発行させてユーザーをログイン状態にする
↓
change_pwd.phpでパスワード変更処理
↓
confirm_.phpでユーザーに変更したパスワードの確認
この後に「今あなた(攻撃者)がオーナーのサイトattacker.phpのコードを書き込み、ユーザーがこのサイトにアクセスしたら自動的にパスワードが変わるようにコードを書いてみよ」という課題を与えます。
ここでブラウザ上でテキストエディタを表示させて、attacker.phpの内容をかけるようにしようか迷っていますが、何かもっと簡単な方法はないかと思い質問させていただきました。この「パスワードを勝手に変えてしまう」という課題自体を変えてしまってもかまいません。よろしくお願いします。
index.php
<?php session_start(); $id = "yourname"; $_SESSION['id'] = $id; ?> <!DOCTYPE html> <html> <meta charset="utf-8"> <head> <title>CSRF</title> </head> <body> <h1>クロスサイト・リクエストフォージュエリ</h1> <h2> このページに入るとあなたは今<?php echo htmlspecialchars($id,ENT_QUOTES,'utf-8'); ?>というidでログイン状態となりました。 ではパスワードを変更してみましょう。 </h2> <a href="change_pwd.php">パスワード変更</a> </body>
change_pwd.php
<?php session_start(); ?> <!DOCTYPE html> <html> <meta charset="utf-8"> <head> <title>CSRF</title> </head> <body> <form action="confirm_pwd.php" method="POST"> 新パスワード<input name="password" type="password"> <input type="submit" value="パスワード変更"> </form> </body>
confirm_pwd.php
<?php session_start(); $id = $_SESSION['id']; $password = $_POST['password']; ?> <!DOCTYPE html> <html> <meta charset="utf-8"> <head> <title>CSRF</title> </head> <body> <?php echo htmlspecialchars($id,ENT_QUOTES,'utf-8'); ?> さんのパスワードを <?php echo htmlspecialchars($password,ENT_QUOTES,'utf-8'); ?> に変更しました </body>
回答1件
0
ベストアンサー
アタッカーとしての攻撃をさせたいのか、CSRF対策をしないと脆弱性がありますよという体験をさせたいのか
定まっていない気がします。
CSRFを体験させるだけなら、attacker.php を踏んだ時点で、パスワード変更させてしまう作りでよいと思います。
- 手順としては、IDとPWを体験者が発行
- 正規のID、PWでログインできることの確認。PWが違うとログインできないことを確認
- attacker.phpへのリンク表示と、PWが変わることを明示して、リンクをクリックしてもらう
- attacker.phpでは、confirm_pwd.php へ送信した内容と元のPWでアクセスできないことを表示
- 体験者は元のPWと変更されてPWでログイン失敗、ログイン成功を確認しPWが変更されたことを確認
で、よいかと。
ちょっと気になったのが・・・
「今あなた(攻撃者)がオーナーのサイトattacker.phpのコードを書き込み
オーナーのサイトというのは、index.phpが置いてあるターゲットサイトと別ですよね?
もし同じであったら、クロスサイトでなくただのPW変更機能の別名つくるだけなので・・・
投稿2017/06/18 04:29
総合スコア4820
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/06/18 05:08