CSRF(XSRF)対策の実装方針 のバックアップソース(No.7)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• バックアップ を表示
• CSRF(XSRF)対策の実装方針 へ行く。
  • 1 (2017-06-22 (木) 14:57:35)
  • 2 (2017-06-22 (木) 14:58:25)
  • 3 (2018-01-16 (火) 16:18:49)
  • 4 (2018-09-06 (木) 10:09:44)
  • 5 (2019-06-15 (土) 16:25:11)
  • 6 (2019-07-09 (火) 19:36:54)
  • 7 (2019-08-18 (日) 12:28:06)
  • 8 (2020-01-05 (日) 16:42:00)
  • 9 (2020-02-03 (月) 20:05:03)
  • 10 (2020-04-08 (水) 14:19:59)
  • 11 (2020-05-07 (木) 16:45:22)
  • 12 (2020-09-28 (月) 16:07:08)

「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>Webアプリケーション脆弱性対策]]

*目次 [#wd4a0d41]
#contents

*概要 [#ia074187]
[[ASP.NET]]でのCSRF(XSRF)対策方針について纏める。

*[[XSRF（CSRF）とは？>https://dotnetdevelopmentinfrastructure.osscons.jp/index.php?SC%EF%BC%9A%E8%84%85%E5%A8%81#xd433779]] [#aa0d7174]

*対応方針の材料 [#a119b84a]

**[[ASP.NET Web Forms]] [#iffca9fe]

***POST [#x5f84c6b]
[[ViewState>ASP.NET ViewState]] の ViewStateUserKey にセッション ID を割り当てる方法がメジャー。

***GET [#k5635c95]
GETでは攻撃しやすいのでQueryStringで予期せぬCRUD等の操作がされないように作る。

**[[ASP.NET MVC]] [#b06cdc95]

***POST [#ec6b7116]
ValidateAntiForgeryToken属性とHtml.AntiForgeryTokenヘルパを使う。

***GET [#q106a76d]
GETでは攻撃しやすいのでQueryStringで予期せぬCRUD等の操作がされないように作る。

**[[WebAPI]] [#k02fa149]
-主に、業務系SPAの裏のWebAPIは同様に対応が必要になる。
-Cookieに設定したX-CSRF-TOKENを、HTTPヘッダに設定する方式が一般的。
-ソレ以外のWebAPIは、client_id, client_secretの基本認証やbearer tokenを使用。

-参考
--ASP.NET Core で防ぐクロスサイト リクエスト フォージェリ (XSRF または CSRF) 攻撃 | Microsoft Docs~
https://docs.microsoft.com/ja-jp/aspnet/core/security/anti-request-forgery

*対応方針の案 [#n243165a]
案件依存だが・・・。

**[[ASP.NET Web Forms]] [#w10d9b44]

[[上記>#iffca9fe]]から選択。

**[[ASP.NET MVC]] [#h8202df2]

[[上記>#b06cdc95]]から選択。

**[[WebAPI]] [#lfe3f4c3]

[[上記>#k02fa149]]から選択。

**判断材料 [#db46d410]
案件毎にCSRF(XSRF)対策のポリシーを持って対応する必要がある。

-GETが通れば即、warningになるので診断ツールの誤検知が多い。
-CSRF(XSRF)になっても実際に問題は起きるかどうかはアプリの作りによる。

***攻撃対象 [#p4e64803]
一般的に、足がつかない、
-匿名アクセス可能なサイトか、
-フリーメールサービスのアドレスでサインアップ可能なサイト

が多いと考える。

***攻撃者 [#z2bcbf96]
-上記のような匿名アクセスが可能なサイトの場合、誰でも攻撃可能。
-会員制サイトの場合、そのサイトを利用可能な会員でしないと、攻撃方法を見い出せない。

***攻撃方法 [#s35e1263]
操作中にリンクを踏む必要があるので、
-対象システム内にリンクの書き込みを行う事が多い。
-しかし、会員制の場合、通常、書き込み者が解れば足がつくので攻撃しない。

対象システム外に書き込みを行う場合、
-そもそもリンクを踏む可能性が低い。
-会員制サイトを攻撃する場合、会員である必要がある。

GET要求を投げるための偽装テクニックがある。
-0サイズのiframeタグなどを利用する。
-0サイズのimgタグのsrc属性に書く

*参考 [#a8f3a2cf]
-クロスサイト・リクエストフォージェリ(CSRF)対策(ASP.NET,C#,VB.NET編) | Webセキュリティの小部屋~
https://www.websec-room.com/2013/03/06/473

-ASP.NET Core MVC で追加されたAutoValidateAntiforgeryToken属性が便利 - 時が癒す~
http://mrgchr.hatenablog.com/entry/2016/11/16/000000

----
Tags: [[:テスト]]

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.003 sec.