CSRF(XSRF)対策の実装方針
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>Webアプリケーション脆弱性対策]]
*目次 [#wd4a0d41]
#contents
*概要 [#ia074187]
-CSRF(XSRF)は利用中のブラウザから攻撃者により~
任意の認証済みリクエストを発生させる攻撃方法で、~
任意の情報の更新処理を送り付ける事が出来る。
-[[ASP.NET]]でのCSRF(XSRF)対策方針について纏める。
*対応方針の案 [#n243165a]
案件依存だが・・・。
**フレームワーク毎の違い [#ac2d4300]
***[[ASP.NET Web Forms]] [#iffca9fe]
-POST~
[[ViewState>ASP.NET ViewState]] の ViewStateUserKey にセ...
-GET~
--攻撃しやすいのでQueryStringで予期せぬCRUD等の操作がされ...
--具体的には、画面の初期表示のみにGETを使用するなどする。
***[[ASP.NET MVC]] [#b06cdc95]
-POST~
ValidateAntiForgeryToken属性とHtml.AntiForgeryTokenヘルパ...
-GET
--攻撃しやすいのでQueryStringで予期せぬCRUD等の操作がされ...
--具体的には、画面の初期表示のみにGETを使用するなどする。
***[[WebAPI]] [#k789c88e]
-主に、業務系SPAの裏のWebAPIは同様に対応が必要になる。
-Cookieに設定したX-CSRF-TOKENを、HTTPヘッダに設定する方式...
-ソレ以外のWebAPIは、client_id, client_secretの基本認証や...
-参考
--ASP.NET Core で防ぐクロスサイト リクエスト フォージェリ...
https://docs.microsoft.com/ja-jp/aspnet/core/security/ant...
**判断材料 [#db46d410]
案件毎にCSRF(XSRF)対策のポリシーを持って対応する必要があ...
***診断ツールと診断結果 [#l0f1d462]
-GETが通れば即、warningになるので診断ツールの誤検知が多い。
-CSRF(XSRF)になっても実際に問題は起きるかどうかはアプリの...
***攻撃対象サイト [#p4e64803]
一般的に、足がつかない、
-匿名アクセス可能なサイトか、
-フリーメールサービスのアドレスでサインアップ可能なサイト
が多いと考える。
***攻撃者の属性 [#z2bcbf96]
-攻撃方法の特定
--匿名アクセスが可能なサイトの場合、誰でも攻撃可能。
--会員制サイトの場合、そのサイトを利用可能な会員でしない...
-攻撃方法が解れば、
--攻撃自体は誰でも出来る。
--しかし、最近は、[[SameSite属性の件>#t5ea50ee]]の対策も...
同一サイトでないとPOSTでの攻撃も、し難くなって来ている。
***[[一般的な攻撃・対策方法>https://dotnetdevelopmentinfr...
**SessionIDを使うのは非推奨の流れ。 [#x983b2db]
-[[セッションIDをCSRFトークンに使うべきでない理由 – JUMPE...
-CSRF対策用トークンの値にセッションIDそのものを使ってもい...
https://gist.github.com/mala/9086206
--CSRF 対策用トークンの値にセッション ID そのものを使って...
https://co3k.org/blog/csrf-token-should-not-be-session-id
*参考 [#a8f3a2cf]
-クロスサイト・リクエストフォージェリ(CSRF)対策(ASP.NET,C...
https://www.websec-room.com/2013/03/06/473
-ASP.NET Core MVC で追加されたAutoValidateAntiforgeryToke...
http://mrgchr.hatenablog.com/entry/2016/11/16/000000
**[[SameSite属性の件]] [#t5ea50ee]
**[[XSRF(CSRF)とは?>https://dotnetdevelopmentinfrastru...
**[[脆弱性対策のポイント - Open 棟梁 Wiki>https://opentou...
----
Tags: [[:テスト]]
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>Webアプリケーション脆弱性対策]]
*目次 [#wd4a0d41]
#contents
*概要 [#ia074187]
-CSRF(XSRF)は利用中のブラウザから攻撃者により~
任意の認証済みリクエストを発生させる攻撃方法で、~
任意の情報の更新処理を送り付ける事が出来る。
-[[ASP.NET]]でのCSRF(XSRF)対策方針について纏める。
*対応方針の案 [#n243165a]
案件依存だが・・・。
**フレームワーク毎の違い [#ac2d4300]
***[[ASP.NET Web Forms]] [#iffca9fe]
-POST~
[[ViewState>ASP.NET ViewState]] の ViewStateUserKey にセ...
-GET~
--攻撃しやすいのでQueryStringで予期せぬCRUD等の操作がされ...
--具体的には、画面の初期表示のみにGETを使用するなどする。
***[[ASP.NET MVC]] [#b06cdc95]
-POST~
ValidateAntiForgeryToken属性とHtml.AntiForgeryTokenヘルパ...
-GET
--攻撃しやすいのでQueryStringで予期せぬCRUD等の操作がされ...
--具体的には、画面の初期表示のみにGETを使用するなどする。
***[[WebAPI]] [#k789c88e]
-主に、業務系SPAの裏のWebAPIは同様に対応が必要になる。
-Cookieに設定したX-CSRF-TOKENを、HTTPヘッダに設定する方式...
-ソレ以外のWebAPIは、client_id, client_secretの基本認証や...
-参考
--ASP.NET Core で防ぐクロスサイト リクエスト フォージェリ...
https://docs.microsoft.com/ja-jp/aspnet/core/security/ant...
**判断材料 [#db46d410]
案件毎にCSRF(XSRF)対策のポリシーを持って対応する必要があ...
***診断ツールと診断結果 [#l0f1d462]
-GETが通れば即、warningになるので診断ツールの誤検知が多い。
-CSRF(XSRF)になっても実際に問題は起きるかどうかはアプリの...
***攻撃対象サイト [#p4e64803]
一般的に、足がつかない、
-匿名アクセス可能なサイトか、
-フリーメールサービスのアドレスでサインアップ可能なサイト
が多いと考える。
***攻撃者の属性 [#z2bcbf96]
-攻撃方法の特定
--匿名アクセスが可能なサイトの場合、誰でも攻撃可能。
--会員制サイトの場合、そのサイトを利用可能な会員でしない...
-攻撃方法が解れば、
--攻撃自体は誰でも出来る。
--しかし、最近は、[[SameSite属性の件>#t5ea50ee]]の対策も...
同一サイトでないとPOSTでの攻撃も、し難くなって来ている。
***[[一般的な攻撃・対策方法>https://dotnetdevelopmentinfr...
**SessionIDを使うのは非推奨の流れ。 [#x983b2db]
-[[セッションIDをCSRFトークンに使うべきでない理由 – JUMPE...
-CSRF対策用トークンの値にセッションIDそのものを使ってもい...
https://gist.github.com/mala/9086206
--CSRF 対策用トークンの値にセッション ID そのものを使って...
https://co3k.org/blog/csrf-token-should-not-be-session-id
*参考 [#a8f3a2cf]
-クロスサイト・リクエストフォージェリ(CSRF)対策(ASP.NET,C...
https://www.websec-room.com/2013/03/06/473
-ASP.NET Core MVC で追加されたAutoValidateAntiforgeryToke...
http://mrgchr.hatenablog.com/entry/2016/11/16/000000
**[[SameSite属性の件]] [#t5ea50ee]
**[[XSRF(CSRF)とは?>https://dotnetdevelopmentinfrastru...
**[[脆弱性対策のポイント - Open 棟梁 Wiki>https://opentou...
----
Tags: [[:テスト]]
ページ名: