質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
86.12%
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

解決済

CSRF攻撃の疑問点について

ruuuu
ruuuu

総合スコア157

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

2回答

0グッド

3クリップ

378閲覧

投稿2022/11/17 05:42

編集2022/11/17 05:46

CSRFについてお聞きしたいことがあります。
CSRF攻撃はさまざまなパターンがあるかと思いますが、仮にユーザーがログイン状態であり、cookieにsessionIDが保存されているケースでは、CSRFは成り立たないのではないかとの疑問があります
というのも、以下のようなケースではcookieの値は自動送信されないからです。

①ユーザーがhttps://test.comへリクエスト
https://test.comがレスポンス(Set-Cookie)
https://example.comへアクセス

こちらの場合、https://example.comへcookieの値送信されませんがその理由については、
Set-Cookieされた送信元のオリジンとリクエスト先のドメインが異なる場合はCookieの値が送信できない、との制限があるからかと思います。

しかし、そうなると仮に悪意のあるサイトからリクエストを送られても、そもそもドメインが異なる為、Cookieは送信されず攻撃は成り立たないのではないでしょうか。

少々混乱している部分もあり、どなたか、こちらの疑問につきましてご回答頂けましたら幸いです

以下のような質問にはグッドを送りましょう

  • 質問内容が明確
  • 自分も答えを知りたい
  • 質問者以外のユーザにも役立つ

グッドが多くついた質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

気になる質問をクリップする

クリップした質問は、後からいつでもマイページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

下記のような質問は推奨されていません。

  • 間違っている
  • 質問になっていない投稿
  • スパムや攻撃的な表現を用いた投稿

適切な質問に修正を依頼しましょう。

回答2

0

悪意あるサイトはただ目的のサイトに送信するだけなんです。
それだけで目的のサイトのCookieが、目的のサイトへ送信されます。

「ドメインが異なる」とは仰いますが、それは悪意あるサイトと目的のサイトのドメインですよね。

悪意あるサイトの送信先のドメインが目的のドメインなら、「ドメインは同じ」ということでCookieが送信されます。

ブラウザの考え方としてはこんな感じです。

「example.com さんこんにちは。なに? test.com に 'ぼくはまちちゃん!' を送信してほしいって?よしわかった。送信先が test.com ということは、あ、そういえばたしか test.com の Cookie があったから一緒に持って行こう。test.com さんこんにちは。この Cookie と 'ぼくはまちちゃん!' の文字列をよろしくね。」

こうして test.com は

「おっけー、このCookieはruuuuさんのだから、ruuuuさんのコメントとして 'ぼくはまちちゃん!' を投稿しておくね」

となる感じです。

悪意あるサイトは目的のサイトのCookieを知る必要はないんです。

投稿2022/11/17 06:01

parinpurin23

総合スコア20

良いと思った回答にはグッドを送りましょう。
グッドが多くついた回答ほどページの上位に表示されるので、他の人が素晴らしい回答を見つけやすくなります。

下記のような回答は推奨されていません。

  • 間違っている回答
  • 質問の回答になっていない投稿
  • スパムや攻撃的な表現を用いた投稿

このような回答には修正を依頼しましょう。

0

ベストアンサー

以下のようなケースではcookieの値は自動送信されないからです。

③までではCSRF攻撃のシナリオではありません。

「ユーザーがtarget.example.comにログインしている状態で、attacker.example.jpのサイト内にtarget.example.com宛の送信フォームを置いておいて、それをユーザーに使わせる」のがCSRFの典型的なシナリオです。

投稿2022/11/17 05:48

編集2022/11/17 05:56
maisumakun

総合スコア141339

良いと思った回答にはグッドを送りましょう。
グッドが多くついた回答ほどページの上位に表示されるので、他の人が素晴らしい回答を見つけやすくなります。

下記のような回答は推奨されていません。

  • 間違っている回答
  • 質問の回答になっていない投稿
  • スパムや攻撃的な表現を用いた投稿

このような回答には修正を依頼しましょう。

回答へのコメント

maisumakun

2022/11/17 05:57 編集

> そうなると仮に悪意のあるサイトからリクエストを送られても、そもそもドメインが異なる為、Cookieは送信されず これも正しくありません。ドメインの異なるサイトに置かれたフォームを送信した場合だろうが、URLを手入力した場合だろうが、以前にセットしたドメインにアクセスする場合にはCookieが送信されます。
maisumakun

2022/11/17 05:55 編集

> 仮にユーザーがログイン状態であり、cookieにsessionIDが保存されているケースでは、CSRFは成り立たないのではないか これも正反対で、cookieにsessionIDが保存されているケース「でしか」CSRFは成立しません(ログイン状態のないフォームでも、意図しない形でPOSTして変な動作を起こせる可能性はありますが、それはCSRFと「呼びません」)。
ruuuu

2022/11/17 09:38 編集

ご回答ありがとうございます。 CSRFのことを少々勘違いしてしまっておりました。 考え直してみた時に、setcookieを行った側からsetcookieを行っていないドメインへのリクエスト時はcookieを送付できないが、すでにsetcookieを行っているドメインへは、どのドメインからのアクセスであろうと、cookieは送付されてしまうということだったのですね。 > cookieにsessionIDが保存されているケース「でしか」CSRFは成立しません こちらですが、例えば掲示板などのサイトではログインが必要はないですが、CSRFの仕組みによって意図しないコメントが投稿されてしまうということがあるかと思うのですが、こちらのケースではCSRFという攻撃ではないということでしょうか。
maisumakun

2022/11/17 09:46

> こちらですが、例えば掲示板などのサイトではログインが必要はないですが、CSRFの仕組みによって意図しないコメントが投稿されてしまうということがあるかと思うのですが、こちらのケースではCSRFという攻撃ではないということでしょうか。 そうですね、ただのPOSTです。
ruuuu

2022/11/17 10:21 編集

なるほど。 しかし、どうも引っかかるのがログイン不要の掲示板サイトへ犯罪を予告するような書き込みのリクエストがCSRFの仕組みによって送信されてしまうといった例を目にすることがあったのですよね
ruuuu

2022/11/17 10:23 編集

>cookieにsessionIDが保存されているケース「でしか」CSRFは成立しません 反論する形になってしまい恐縮ですが、こちらのソースのようなものがありましたら教えて頂きたいです
maisumakun

2022/11/17 11:13

> どうも引っかかるのがログイン不要の掲示板サイトへ犯罪を予告するような書き込みのリクエストがCSRFの仕組みによって送信されてしまうといった例を目にすることがあったのですよね 仕組みは同じでも、ログイン情報を使わないものはCSRFと「呼ばない」、という話です。 https://www.ipa.go.jp/security/vuln/vuln_contents/csrf.html 「他のユーザーであることを偽る」ことがCSRFの要件なので、ユーザー情報なしでただ書き込むだけのものは該当しません。
ruuuu

2022/11/17 12:11

度々ありがとうございます >「他のユーザーであることを偽る」 こちら、確かに結果的に、IPアドレスを元に別の人が書き込んだことにはなりますが、ログインが行われていない以上、特定のユーザーに成りすましている訳ではないですし、「CSRF」との攻撃名は該当しないということですね。 大変勉強になりました。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
86.12%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

同じタグがついた質問を見る

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。