CSRF攻撃の疑問点について

CSRFについてお聞きしたいことがあります。
CSRF攻撃はさまざまなパターンがあるかと思いますが、仮にユーザーがログイン状態であり、cookieにsessionIDが保存されているケースでは、CSRFは成り立たないのではないかとの疑問があります
というのも、以下のようなケースではcookieの値は自動送信されないからです。

①ユーザーがhttps://test.comへリクエスト
②https://test.comがレスポンス(Set-Cookie)
③https://example.comへアクセス

こちらの場合、https://example.comへcookieの値送信されませんがその理由については、
Set-Cookieされた送信元のオリジンとリクエスト先のドメインが異なる場合はCookieの値が送信できない、との制限があるからかと思います。

しかし、そうなると仮に悪意のあるサイトからリクエストを送られても、そもそもドメインが異なる為、Cookieは送信されず攻撃は成り立たないのではないでしょうか。

少々混乱している部分もあり、どなたか、こちらの疑問につきましてご回答頂けましたら幸いです

行動規範の内容に同意します

回答2件

悪意あるサイトはただ目的のサイトに送信するだけなんです。
それだけで目的のサイトのCookieが、目的のサイトへ送信されます。

「ドメインが異なる」とは仰いますが、それは悪意あるサイトと目的のサイトのドメインですよね。

悪意あるサイトの送信先のドメインが目的のドメインなら、「ドメインは同じ」ということでCookieが送信されます。

ブラウザの考え方としてはこんな感じです。

「example.com さんこんにちは。なに？ test.com に 'ぼくはまちちゃん！' を送信してほしいって？よしわかった。送信先が test.com ということは、あ、そういえばたしか test.com の Cookie があったから一緒に持って行こう。test.com さんこんにちは。この Cookie と 'ぼくはまちちゃん！' の文字列をよろしくね。」

こうして test.com は

「おっけー、このCookieはruuuuさんのだから、ruuuuさんのコメントとして 'ぼくはまちちゃん！' を投稿しておくね」

となる感じです。

悪意あるサイトは目的のサイトのCookieを知る必要はないんです。

投稿2022/11/17 06:01

parinpurin23

総合スコア20

ベストアンサー

以下のようなケースではcookieの値は自動送信されないからです。

③までではCSRF攻撃のシナリオではありません。

「ユーザーがtarget.example.comにログインしている状態で、attacker.example.jpのサイト内にtarget.example.com宛の送信フォームを置いておいて、それをユーザーに使わせる」のがCSRFの典型的なシナリオです。

投稿2022/11/17 05:48

編集2022/11/17 05:56

maisumakun

総合スコア145183

maisumakun

2022/11/17 05:57 編集

> そうなると仮に悪意のあるサイトからリクエストを送られても、そもそもドメインが異なる為、Cookieは送信されずこれも正しくありません。ドメインの異なるサイトに置かれたフォームを送信した場合だろうが、URLを手入力した場合だろうが、以前にセットしたドメインにアクセスする場合にはCookieが送信されます。

maisumakun

2022/11/17 05:55 編集

> 仮にユーザーがログイン状態であり、cookieにsessionIDが保存されているケースでは、CSRFは成り立たないのではないかこれも正反対で、cookieにsessionIDが保存されているケース「でしか」CSRFは成立しません（ログイン状態のないフォームでも、意図しない形でPOSTして変な動作を起こせる可能性はありますが、それはCSRFと「呼びません」）。

ruuuu

2022/11/17 09:38 編集

ご回答ありがとうございます。 CSRFのことを少々勘違いしてしまっておりました。考え直してみた時に、setcookieを行った側からsetcookieを行っていないドメインへのリクエスト時はcookieを送付できないが、すでにsetcookieを行っているドメインへは、どのドメインからのアクセスであろうと、cookieは送付されてしまうということだったのですね。 > cookieにsessionIDが保存されているケース「でしか」CSRFは成立しませんこちらですが、例えば掲示板などのサイトではログインが必要はないですが、CSRFの仕組みによって意図しないコメントが投稿されてしまうということがあるかと思うのですが、こちらのケースではCSRFという攻撃ではないということでしょうか。

maisumakun

2022/11/17 09:46

> こちらですが、例えば掲示板などのサイトではログインが必要はないですが、CSRFの仕組みによって意図しないコメントが投稿されてしまうということがあるかと思うのですが、こちらのケースではCSRFという攻撃ではないということでしょうか。そうですね、ただのPOSTです。

ruuuu

2022/11/17 10:21 編集

なるほど。しかし、どうも引っかかるのがログイン不要の掲示板サイトへ犯罪を予告するような書き込みのリクエストがCSRFの仕組みによって送信されてしまうといった例を目にすることがあったのですよね

ruuuu

2022/11/17 10:23 編集

>cookieにsessionIDが保存されているケース「でしか」CSRFは成立しません反論する形になってしまい恐縮ですが、こちらのソースのようなものがありましたら教えて頂きたいです

maisumakun

2022/11/17 11:13

> どうも引っかかるのがログイン不要の掲示板サイトへ犯罪を予告するような書き込みのリクエストがCSRFの仕組みによって送信されてしまうといった例を目にすることがあったのですよね仕組みは同じでも、ログイン情報を使わないものはCSRFと「呼ばない」、という話です。 https://www.ipa.go.jp/security/vuln/vuln_contents/csrf.html 「他のユーザーであることを偽る」ことがCSRFの要件なので、ユーザー情報なしでただ書き込むだけのものは該当しません。

ruuuu

2022/11/17 12:11

度々ありがとうございます >「他のユーザーであることを偽る」こちら、確かに結果的に、IPアドレスを元に別の人が書き込んだことにはなりますが、ログインが行われていない以上、特定のユーザーに成りすましている訳ではないですし、「CSRF」との攻撃名は該当しないということですね。大変勉強になりました。

行動規範の内容に同意します

あなたの回答