内容 ( 演習 1) 脆弱性の原理解説基礎知識脆弱性の発見方法演習 1: 意図しない命令の実行演習解説 2

AppGoat を利用した集合教育補助資料 - クロスサイトリクエストフォージェリ編 - 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター

クロスサイトリクエストフォージェリ (CSRF) とは? CSRF(Cross Site Request Forgeries)= サイトを横断してリクエストを偽造セッション ID を悪用しウェブサイトにログインしている利用者に意図しない操作をさせる攻撃わかりやすく言うと通常ログイン者しか実行できない操作を攻撃者が不正に操作する攻撃過去には CSRF を悪用された可能性がある事件も横浜市のサイトに犯行声明が投稿され大学生が誤認逮捕されてしまった事件 (2012 年 6 月 ) 3

セッションとは? セッション : セッション ID: ウェブサイトへの要求から応答までの一連の流れクライアントを識別するためのしるしクライアントのしるしが発行されている場合初回訪問時ウェブサーバ 2 回目以降 B B B の情報クライアントのしるしと一致する情報を取り出して処理する見ていたページ :account.html カートに入っている商品 : 商品 2 この一連の流れがセッションですどのクライアントの情報か識別できるその操作が本人かどうかの確認に利用される 4

セッション ID をウェブサイトに運ぶ方法は? セッション ID を運ぶ方法は以下の 3 つ 1. Cookie 2. POST メソッド HTTP リクエスト POST /ipa/index.html;sessionid=3m90l2 HTTP/1.1 Host: www.ipa.go.jp Referer: http://www.ipa.go.jp/top.html Cookie: sessionid=3m90l2 Connection: keep-alive Content-Type: application/x-www-formurlencoded Content-Length: 71 3. GET メソッド loginpass=&sessionid=3m90l2 GETメソッドは暗号化できないURL 部分にセッションIDを保持するため盗聴された場合対策できない非推奨の方法 5

CSRF の攻撃方法ログインが必要なサイトで不正に操作 1 攻撃コードを含む罠リンクを投稿罠リンク攻撃コード掲示板サイト HTML 罠リンク 2 利用者が罠リンクをクリック脆弱性のあるサイト ( 要ログイン ) HTML 操作結果不正操作リクエストレスポンス 3 攻撃コードが脆弱性のあるサイトで実行 ( 不正操作 ) される攻撃コードセッション ID が発行済み ( ログイン済み ) の場合不正操作セッション ID が未発行 ( 未ログイン ) の場合処理されない 6

ウェブアプリケーション側でリクエストを識別する仕組みがないと [ セッション切断時 ] 通常時 2 1 サーバ B にログインしていない利用者が攻撃者の設置した罠リンクをクリックする攻撃者が掲示板に罠リンクを設置する攻撃者 3 利用者 A が罠のリンクをクリックするとサーバ B に勝手にパスワード変更のリクエストを送ってしまうログインしていない利用者 A パラメータ =aaaaa 未ログイン 4 ウェブサーバ B 未ログインで直接パスワード変更画面にアクセスした為アクセス拒否 7

ウェブアプリケーション側でリクエストを識別する仕組みがないと攻撃時 2 1 サーバ B にログイン済みの利用者が攻撃者の設置した罠リンクをクリックする攻撃者が掲示板に罠リンクを設置する攻撃者ログイン済みの利用者 A 5 3 パラメータ =aaaaa 利用者 Aが罠のリンクをクリックするとサーバB に勝手にパスワード変更のリクエストを送ってしまうサーバがパスワード変更のリクエストを受け付けた旨の応答を返すログイン中 4 ウェブサーバ B 利用者 Aからパスワード変更依頼があったと判断しパスワードをに変更する aaaaa 8

クロスサイトリクエストフォージェリを発見するためにトークンの有無を確認するトークンって何? 第三者が知りえない秘密情報登録ページや注文ページなどで発行し利用者が意図したリクエストかを判別するトークン登録ページ確認ページ登録完了ページトークンは hidden フィールドに埋め込んで送信する hidden フィールド : 秘密情報などを格納するために使われる 9

トークンの基礎知識セッション ID を発行トークントークントークンを発行トークン発行したトークンと一致したため処理を実施トークン利用者ログイン中ウェブサイト 10

クロスサイトリクエストフォージェリを発見するためにトークンをどうやって確認するの? URL 内やウェブページの HTML ソース内に je0tecsm6cvqae6c9oneinqc44 といった不規則な英数字の値がないことを確認するこのような値がなければクロスサイトリクエストフォージェリの脆弱性の可能性 11

[ 演習 ]AppGoat の準備 1AppGoatを起動します 2 以下の遷移で演習画面に移動します 1. 実習環境へクリック 3. 意図しない命令の実行クリック 5.ID:sato パスワード :sato123 4. 演習 ( 発見 ) クリック 2. はいクリック 12

[ 演習 ]AppGoat を用いた疑似攻撃体験演習テーマ : 意図しない命令の実行ミッション : 他人のSNSの設定を変更してみましょう 13

[ 演習 ] 疑似攻撃のイメージ攻撃者掲示板サイト Click 設定変更 CSRF 脆弱性のある SNS サイトログイン中利用者 14

[ 演習 ] 演習の進め方 Step1: 攻撃準備を行う SNS(sato さん ) にログインし設定変更 ( 公開設定 ) を行う際のリクエストを確認する ( 特殊な演習なためトークンの確認は不要です ) リクエスト Step2: 掲示板にアクセスし設定変更を行うリンクを設置する設定変更 ( 公開設定 ) を行うリンクを掲示板に投稿する分からない場合はヒントを参照してください Step3: 攻撃を確認してみる SNS(yamadaさん) にログインした状態で掲示板のリンクをクリックしてみる 15

演習演習はじめてください演習が終わったら次のページで解説を行います 16

[Step1] どのようなリクエストを送っているか確認する設定変更する際にどのようなリクエストを送信しているのか確認しましょう送信されるリクエスト http://ip アドレス /Users/ ログイン ID/Web/Scenario1321/VulSoft/sns.php? page=4&secret_token=b5c3181f0f833ba46f27c7fa0e1faee089344ba797e e580b5bff33ff68327519&name=yamada&year=1990&month=1&day=1&mail =yamada@example.com&public=1 補足 :secret_tokenパラメータがあるためトークンが存在するように見えますが演習のために無効化していますトークンが存在しない ( 脆弱性が存在する ) 前提での演習となります 17

[ 演習 ] 演習の進め方 Step1: 攻撃準備を行う SNS(sato さん ) にログインし設定変更 ( 公開設定 ) を行う際のリクエストを確認するリクエスト Step2: 掲示板にアクセスし設定変更を行うリンクを設置する設定変更 ( 公開設定 ) を行うリンクを掲示板に投稿する分からない場合はヒントを参照してください Step3: 攻撃を確認してみる SNS(yamadaさん) にログインした状態で掲示板のリンクをクリックしてみる 18

[Step2] 罠リンクの URL を考える SNS サイトの CSRF 脆弱性を突いて個人情報公開の設定を公開するに変更する URL を考えてみましょう 1. 前スライドで確認したリクエストから個人情報公開の設定を変更するパラメータを確認します赤字が該当のパラメータです確認したリクエスト http://ip アドレス /Users/ ログイン ID/Web/Scenario1321/VulSoft/sns.php? page=4&secret_token=b5c3181f0f833ba46f27c7fa0e1faee089344ba797 ee580b5bff33ff68327519&name=yamada&year=1990&month=1&day=1&m ail=yamada@example.com&public=1 2. 必要最低限のパラメータのみ残すと下記のようなリクエストになります下記のリクエストが送信されるように罠リンクを設置します罠リンクの URL http://ip アドレス /Users/ ログイン ID/Web/Scenario1321/VulSoft/sns.php? page=4&public=1 19

[Step2] 罠リンクを掲示板サイトに投稿する 1. 攻撃者の立場になり掲示板に罠のリンクを作成します罠のリンクには先ほど作成した URL を入力します 2. 投稿ボタンを押下しますこれで罠リンクの設置が完了しました 20

[Step3] 設定変更されてしまうことを確認する 1. (SNS サイトにログインした ) 利用者の立場になり罠のリンクをクリックし SNS サイトにアクセスします 2. その結果利用者の SNS 設定情報が変更されます 21

内容 ( 演習 2) 演習 2: 演習 3( グループウェア ) 演習解説対策方法 22

[ 演習 ]AppGoat の準備 1 以下の遷移で演習画面に移動します 1. 演習 3( グループウェア ) クリック 2.ID に yamada パスワードに yamada123 と入力しログイン 3. 休暇申請クリック 23

[ 演習 ]AppGoat を用いた疑似攻撃体験演習テーマ : 意図しない命令ミッション : 意図しない休暇申請の操作 24

[ 演習 ] 演習の進め方 Step1: 脆弱となる箇所を特定するリクエスト (URL) にトークンが含まれずに処理を実施できてしまう操作を発見してみましょう Step2: 掲示板にアクセスし登録変更を行うリンクを設置する Step3: 攻撃を確認してみる SNS にログインした状態で掲示板に設置したリンクにアクセスしてみましょう 25

演習演習はじめてください演習が終わったら次のページで解説を行います 26

[Step1] トークンを送らずに処理ができてしまう操作を確認する演習の手順処理を実行する際の URL にトークンが含まれているか確認しましょう休暇申請書を作成し URL を確認してみましょう http://ip アドレス /Users/ ログイン ID/Web/Scenario3401/VulSoft/ groupware.php?page=8&token=0197f33f7b071d855608a0e3a92381b b144b3cad6a1298e3e6e69e506b8749a1&start_time=2017%2f09%2f 01&end_time=2017%2F09%2F08&date=6&type=%E5%85%A8%E6%97%A 5%E4%BC%91%E6%9A%87&reason=%E7%A7%81%E7%94%A8&comment= &save=%e7%94%b3%e8%ab%8b%e6%9b%b8%e3%81%ae%e4%bd%9c%e6 %88%90 演習用に数個休暇申請書を作成してみましょう休暇申請を削除する URL を確認してみましょう http://ip アドレス /Users/ ログイン ID/Web/Scenario3401/VulSoft/ groupware.php?page=8&holiday_id=1&delete=%e5%89%8a%e9%99%a4 トークンが含まれていない 27

[Step2] 罠リンクを掲示板サイトに投稿する 1. 攻撃者の立場になり掲示板に罠のリンクを作成します罠のリンクには先ほど休暇申請を削除した URL を入力します 2. 投稿ボタンを押下しますこれで罠リンクの設置が完了しました 28

[Step3] 休暇申請が削除されることを確認する 1. ( グループウェアにログインした ) 利用者の立場になり罠のリンクをクリックしグループウェアにアクセスします 2. その結果利用者の休暇申請が削除されてしまいます 29

対策方法の解説対策の解説 30

対策のポイント罠ページを経由したリクエストと正規のリクエストを識別できるようリクエストにトークン ( 秘密情報 ) を付加する攻撃者リクエスト A B の違いを識別できるようにする A: 罠ページからのリクエストログイン済み利用者 A B: リクエストトークン利用者が意図したリクエスト+トークンログイン中ウェブアプリケーション 31

対策方法リクエストに推測困難な秘密情報を埋め込む 32

以上でクロスサイトリクエストフォージェリの解説は終了です 33

内容 ( 演習 1) 脆弱性の原理解説 基礎知識 脆弱性の発見方法 演習 1: 意図しない命令の実行 演習解説 2

内容 ( 演習 1) 脆弱性の原理解説基礎知識脆弱性の発見方法演習 1: 意図しない命令の実行演習解説 2