• はてなブックマーク
  • テクノロジー
  • CSRFで強制ログインさせるというアイデア - ぼくはまちちゃん!
  • Twitterでシェア
  • Facebookでシェア

CSRFで強制ログインさせるというアイデア - ぼくはまちちゃん!

テクノロジー カテゴリーの変更を依頼 記事元:blog.hamachiya.jp
適切な情報に変更
530 usersがブックマーク コメント94

    記事へのコメント94

    • 注目コメント
    • 新着コメント
    オーナーコメントを固定しています
    Hamachiya2
    オーナー Hamachiya2 にっきかいた→「CSRFで強制ログインさせるというアイデア」

    2012/05/22 リンク

    その他
    jaguarsan
    jaguarsan むしろ不正アクセスで嵌められるのがヤバくね?

    2012/05/22 リンク

    その他
    K-Ono
    K-Ono 『(結論) ログインのフォームもCSRF対策したほうがいいよ。』さすがのお兄ちゃんも実証はすまいと思った模様なのでこれはやばい。

    2012/05/22 リンク

    その他
    totttte
    totttte さすがはまちおにいちゃん!

    2012/05/22 リンク

    その他
    mame-tanuki
    mame-tanuki 怖い怖い>「ちなみにdropboxも強制ログインさせること可能だよ」

    2012/05/22 リンク

    その他
    Zarathustra1951-1967
    Zarathustra1951-1967 で、このページを見ると、どこに勝手にログインさせられるんだろう?

    2012/05/23 リンク

    その他
    AmaiSaeta
    AmaiSaeta "「違うアカウントで、大事なメールを送信」、「違うアカウントで、秘密の写真をアップロード」 " | (ふと思ったんだが、「CSRFで強制ログイン」が出来るのならば、「CSRFで強制アカウント作成」も出来るんかな……)

    2012/05/28 リンク

    その他
    otchy210
    otchy210 アイコン設定とかが防止策みたいな話も思ったけど、これ一番怖いのは対象のサービスの画面を一度も見せることなく、攻撃を完了させられる点だなー。ログインは POST のみでトークン付きって対策がよさげ。

    2012/05/23 リンク

    その他
    pochi-p
    pochi-p 罠しかけられたサイトを見たら「いつの間にか誰かのアカウントにログインしていて不正アクセスで逮捕されていた。ログイン履歴に俺のIPがあった。何を言ってるのか(ry」ってなるんですねgkbrです。

    2012/06/07 リンク

    その他
    ka-ka_xyz
    ka-ka_xyz ??? POSTじゃなくてGETでログインできるのかな一般的に・・・と思って少しググったらJSでクロスドメインポストする方法が山ほどヒットして藁田

    2012/05/23 リンク

    その他
    オーナーコメントを固定しています
    Hamachiya2
    オーナー Hamachiya2 にっきかいた→「CSRFで強制ログインさせるというアイデア」

    2012/05/22 リンク

    その他
    kurakano
    kurakano ユーザー入力は関係なく、事前にログインできることが確認できているID/PASSをJSでクロスサイトPOSTすることで裏側でユーザーが知りもしないサービスにログインさせることができる。と理解。個人情報の取得はなさそう

    2018/10/24 リンク

    その他
    kobake
    kobake なかなかよくできたホラーですな。夏に読みたかった。

    2014/12/23 リンク

    その他
    tarchan
    tarchan >今は「どのサイトも誰かを違うアカウントでログインさせ放題」の状態

    2012/06/21 リンク

    その他
    pochi-p
    pochi-p 罠しかけられたサイトを見たら「いつの間にか誰かのアカウントにログインしていて不正アクセスで逮捕されていた。ログイン履歴に俺のIPがあった。何を言ってるのか(ry」ってなるんですねgkbrです。

    2012/06/07 リンク

    その他
    mainyaa
    mainyaa ん、ユーザー側でもブラウザの3rd party cookieを拒否する設定にすれば対策できるよね?

    2012/05/31 リンク

    その他
    AmaiSaeta
    AmaiSaeta "「違うアカウントで、大事なメールを送信」、「違うアカウントで、秘密の写真をアップロード」 " | (ふと思ったんだが、「CSRFで強制ログイン」が出来るのならば、「CSRFで強制アカウント作成」も出来るんかな……)

    2012/05/28 リンク

    その他
    taguten
    taguten yabe

    2012/05/27 リンク

    その他
    tmf16
    tmf16 ブックマークレットとか使って投稿してると危ないね

    2012/05/24 リンク

    その他
    rryu
    rryu 変則的なセッション固定攻撃っぽい雰囲気。むしろアカウント固定攻撃?

    2012/05/24 リンク

    その他
    hodade
    hodade 勝手に違うアカウントでログインしたとして、TLとかマイホームとか見た瞬間異変に気づいて投稿しないでしょう?

    2012/05/24 リンク

    その他
    katsyoshi
    katsyoshi フムフム

    2012/05/24 リンク

    その他
    diveintounlimit
    diveintounlimit サラっと怖いことが書いてあった。

    2012/05/24 リンク

    その他
    coinlocker
    coinlocker ログインさせてIPを取得という罠は見たことがある。

    2012/05/24 リンク

    その他
    dai_hi_saru
    dai_hi_saru CSRFで強制ログインさせるというアイデア - ぼくはまちちゃん!(Hatena)

    2012/05/24 リンク

    その他
    TakayukiN627
    TakayukiN627 (結論) ログインのフォームもCSRF対策したほうがいいよ。

    2012/05/24 リンク

    その他
    been35689y220
    been35689y220 捗るけど、コミュニケーションにかける場合があるということなのか‥ ひととコミュニケーションをとるには、民主的なリーダーの方程度維持 とか‥

    2012/05/23 リンク

    その他
    tatsunop
    tatsunop あまりよく分かってないのだけど、ログイン後の画面の情報だけは正規のものに似せて名前とかアイコンを取得して、でも実際は別のアカウントってことはできるのかな。そうするとユーザーはお手上げっぽいけど。

    2012/05/23 リンク

    その他
    canadie
    canadie これはすなわちログアウト時もCSRFチェック掛けろってことですな。

    2012/05/23 リンク

    その他
    ka-ka_xyz
    ka-ka_xyz ??? POSTじゃなくてGETでログインできるのかな一般的に・・・と思って少しググったらJSでクロスドメインポストする方法が山ほどヒットして藁田

    2012/05/23 リンク

    その他
    otchy210
    otchy210 アイコン設定とかが防止策みたいな話も思ったけど、これ一番怖いのは対象のサービスの画面を一度も見せることなく、攻撃を完了させられる点だなー。ログインは POST のみでトークン付きって対策がよさげ。

    2012/05/23 リンク

    その他
    ikeike443
    ikeike443 ふむー。

    2012/05/23 リンク

    その他
    prometheus3000
    prometheus3000 わからん、入力画面1一枚でログインするのをのっとるとすればCSRFではなく単なるフィッシングにカテゴリーされるのでは?

    2012/05/23 リンク

    その他
    tiadeen2
    tiadeen2 1回読んだだけだと何となくしか分からなかったけど、やっと理解。ログインのCSRF対策と、フェールセーフとして書き込む・ULする時にはアカウント名/アイコンを出してあげるのがヨサゲ。

    2012/05/23 リンク

    その他
    stealthinu
    stealthinu ダミーアカウントにログインさせてしまい、ユーザが気が付かずに写真などデータをアップロードして漏洩させることを狙う。手法が手軽で暴露系に向く手法だから愉快犯が使うようになるかも。

    2012/05/23 リンク

    その他
    azure-frogs
    azure-frogs ログインのフォームのCSRFって例えばスマホでもありうるのかな

    2012/05/23 リンク

    その他
    nekobosi
    nekobosi お、おお

    2012/05/23 リンク

    その他
    warriorking
    warriorking CSRFで強制ログインさせるというアイデア - ぼくはまちちゃん!(Hatena)

    2012/05/23 リンク

    その他
    bearide
    bearide 『実はログインのフォームって、だいたいのサイトでCSRF対策してないんだよね。』 『知らない間に違うアカウントでログインしていて、大事な写真やファイルが流出…』

    2012/05/23 リンク

    その他
    kenichiice
    kenichiice 「(結論) ログインのフォームもCSRF対策したほうがいいよ。 」

    2012/05/23 リンク

    その他
    gedroid
    gedroid ブラウザのCookieを毎回削除する設定にしてるからあまり関係ないかな。いきなりログイン状態になるだけで異変に気づく。

    2012/05/23 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    CSRFで強制ログインさせるというアイデア - ぼくはまちちゃん!

    こんにちはこんにちは!! 今日はCSRF脆弱性のちょっとした話です! このCSRFってなにかっていうと、 サ...

    ブックマークしたユーザー

    • techtech05212023/10/29 techtech0521
    • kurakano2018/10/24 kurakano
    • ryota-murakami2016/06/17 ryota-murakami
    • kobake2014/12/23 kobake
    • taiti08262014/03/15 taiti0826
    • equinox792013/10/23 equinox79
    • bartleby09112013/08/27 bartleby0911
    • foo-ohta2013/03/19 foo-ohta
    • kuwalab2013/02/06 kuwalab
    • bakeneko442012/10/24 bakeneko44
    • nakuraxx2012/10/17 nakuraxx
    • Kenji_s2012/10/15 Kenji_s
    • nashibao2012/09/13 nashibao
    • masakielastic22012/09/11 masakielastic2
    • tsutomura2012/07/02 tsutomura
    • tarchan2012/06/21 tarchan
    • heatman2012/06/18 heatman
    • lanius2012/06/13 lanius
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.