極める!Security Component (CakePHP Advent Calendar 2010 24日目) 2010-12-24 目次 1 この記事はCakePHP Advent Calendar 2010 24日目に向けて書きました2 Security Componentはハマり所3 パラメータ改ざん対策でハマる4 Security Componentの基本動作5 CSRF対策は、セッショントークンでフォーム画面からの送信をチェックしている6 パラメータ改ざん対策は、フォーム部品情報をハッシュで確認している7 パラメータ改ざん対策で受付可能なフォーム部品、そうでない部品8 Formヘルパーを使ったとしても受け付けてくれない書き方9 動作の詳細は、今のところソース読めとしか...10 Advent Calendarは記事を書くいいきっかけ この記事はCakePHP Advent
CakePHP1のセキュリティコンポーネントは、CSRF対策と、フォーム改竄対策がセットであるため、例えばjavascriptで動的にフォームなどを追加するとチェックに引っかかります。 CakePHP2からは、CSRF対策とフォーム改竄対策がそれぞれオプションでOFFにできます(デフォルトではどちらも有効) CSRF対策のみ行いたい場合は、コントローラのコンポーネント指定でvalidatePostをfalseにします。 public $components = array( 'Security' => array('validatePost' => false), ); 動的にON/OFFを切り替えたい場合は、コントローラで下記のようにできます。 $this->Security->validatePost = false; //改竄対応 $this->Security->csrfCheck
CakePHPでSecurityコンポーネントを使っていると、時折発生するBlackHole。 発生時はエラーログを確認するしか詳細な原因がわからないのですが、多くの場合は以下のどれかに該当するのではないでしょうか。 CSRFチェックのトークンがUseOnceなのにフォーム送信後にブラウザの「戻る」とか押してからフォームを再送した。 フォームを生成してから30分過ぎた。(トークンのデフォルト有効期限が30分) JavaScriptでHidden項目を書き換えた。 JavaScriptで入力項目を追加したり取り去ったりした。 ブラウザの戻るを想定する場合はトークンを複数回使えるように設定しなければいけません。(ただし、セキュリティー的には若干低下します) 複数回使いまわせるようにするにはControllerのbeforeFilterなどで以下のようにcsrfUseOnceをfalseにします
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
1 「CSRF」と「Session Fixation」 の諸問題について 独立行政法人産業技術総合研究所 情報セキュリティ研究センター 高木 浩光 http://staff.aist.go.jp/takagi.hiromitsu/ 情報処理推進機構 ウェブアプリケーション 開発者向けセキュリティ実装講座 2006年2月28日, 4月4日 後日配布資料 2 目次 • 前提知識の確認 – Webアプリにおけるセッション追跡と認証の実装手段 – セッションハイジャック攻撃の原理と脅威 • CSRF (Cross-Site Request Forgeries) 別名: Session Riding – 歴史的経緯、原因、脅威、技術的対策、適法な存在推定手段 • Session Fixation – 歴史的経緯、原因、脅威、技術的対策、適法な存在推定手段 3 セッション追跡と認証の実装手段 • セッ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
