CSRF(XSRF)対策の実装方針のバックアップ(No.9) - マイクロソフト系技術情報 Wiki

[ トップ ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

概要 †

ASP.NETでのCSRF(XSRF)対策方針について纏める。

対応方針の材料 †

ASP.NET Web Forms †

POST †

ViewState の ViewStateUserKey? にセッション ID を割り当てる方法がメジャー。

GET †

GETでは攻撃しやすいのでQueryString?で予期せぬCRUD等の操作がされないように作る。

ASP.NET MVC †

POST †

ValidateAntiForgeryToken?属性とHtml.AntiForgeryToken?ヘルパを使う。

GET †

GETでは攻撃しやすいのでQueryString?で予期せぬCRUD等の操作がされないように作る。

WebAPI †

主に、業務系SPAの裏のWebAPIは同様に対応が必要になる。
Cookieに設定したX-CSRF-TOKENを、HTTPヘッダに設定する方式が一般的。
ソレ以外のWebAPIは、client_id, client_secretの基本認証やbearer tokenを使用。

参考
- ASP.NET Core で防ぐクロスサイトリクエストフォージェリ (XSRF または CSRF) 攻撃 | Microsoft Docs
  https://docs.microsoft.com/ja-jp/aspnet/core/security/anti-request-forgery

対応方針の案 †

案件依存だが・・・。

ASP.NET Web Forms †

上記から選択。

ASP.NET MVC †

上記から選択。

WebAPI †

上記から選択。

判断材料 †

案件毎にCSRF(XSRF)対策のポリシーを持って対応する必要がある。

GETが通れば即、warningになるので診断ツールの誤検知が多い。
CSRF(XSRF)になっても実際に問題は起きるかどうかはアプリの作りによる。

攻撃対象 †

一般的に、足がつかない、

匿名アクセス可能なサイトか、
フリーメールサービスのアドレスでサインアップ可能なサイト

が多いと考える。

攻撃者 †

上記のような匿名アクセスが可能なサイトの場合、誰でも攻撃可能。
会員制サイトの場合、そのサイトを利用可能な会員でしないと、攻撃方法を見い出せない。

攻撃方法・対策方法 †

参考 †

クロスサイト・リクエストフォージェリ(CSRF)対策(ASP.NET,C#,VB.NET編) | Webセキュリティの小部屋
https://www.websec-room.com/2013/03/06/473

ASP.NET Core MVC で追加されたAutoValidateAntiforgeryToken?属性が便利 - 時が癒す
http://mrgchr.hatenablog.com/entry/2016/11/16/000000

XSRF（CSRF）とは？ †

脆弱性対策のポイント - Open 棟梁 Wiki †

Tags: :テスト