la-la-land回答ポイント 100ptウォッチ 2

WEBサイトに対してのCSRF攻撃で

ファイルをアップロードさせるような攻撃は可能でしょうか。
可能であれば仕組みと方法を教えてください。

• はてなアカウントでログイン
• 無料ユーザー登録

ベストアンサー

• Sampo2013/03/24 20:29:09

  満足100pt

  No.3の方の解説には間違いがありますね。
  file型input要素には、Javascriptからアップロードファイルを設定することができません。もちろんセキュリティ上の理由からの制限で、質問者様が危惧なさっているとおりの事態を避けるためのものです。
  
  というわけで、HTML+Javascriptのみに限って言えばご質問のような攻撃は不可能です。FLASHが絡んだ場合のことはちょっと守備範囲外ですのでどなたかフォローを。

  スター

  • 

    1件のコメントを見る

  • la-la-land 2013/03/25 11:07:13

    ありがとうございます。参考になりました。
    今回Flashを組み込む予定はないので大丈夫だと思います

    スター

その他の回答

• Kamesuta2013/03/19 23:43:16

  0pt

  基本的にできません。
  ファイルをアップロードするには、CGIなどのサーバーのプログラムが必要になります。(話それてるー！)
  理由は、サーバーは、アクセス権限がないと入るのはできないからです。
  CGIは、パーミッションと呼ばれる権限を持っているので大丈夫です。
  サーバーにそのようなプログラムがあれば
  htmlファイルを作って(テキストなんで、新規作成から新規テキストファイルをえらんで、拡張子を変える　拡張子の変え方は「http://ratan.dyndns.info/win/kakutyoushi.html」などを参考に)
  
  
  
  ↓テキスト(HTML)ファイル中身↓(自作)
  

  <html><head><script type="text/javascript"><!--
  set1=1000;//アクセスする間隔(ミリ秒　1000分の1秒)　小さくしすぎるとサーバーだけでなくPCやインターネット回線が.....
  set2="http://ここは変えてね/";//URL (攻撃のまと)
  set3=256;//ランダムで生成されるファイルの大きさ (大きくしすぎるとサーバーだけでなくPCやインターネット回線が.....
  set4="POST";//メソッド、GETかPOSTがある
  function on(){var dat="";for(var i=0;i<set3;i++){if(i<Math.sqrt(set3)) dat+="%0"+i.toString(16);else dat+="%"+i.toString(16);};var f=document.createElement("form");document.body.appendChild(f);f.action=set2;f.method=set4;f.target="at";var inp=document.createElement("input");f.appendChild(inp);inp.name="data";inp.value=dat;sub=function(){f.submit();};setInterval("sub()",set1);};
  //--></script><title>保存テスト</title></head><body>
  <a href="javascript:on();void(0);">アタック</a>
  攻撃サイト<iframe src="" name="at" width="200" height="150">この部分はインラインフレームを使用しています。</iframe>
  </body></html>
  

  
  

  ↑終わり↑
  
  
  で、ブラウザで開いて、「アタック」をクリック！
  ブラウザやパソコン、インターネット回線、(WEBサーバー)に迷惑をかけるので、自己責任で。

  スター

  • 

    2件のコメントを見る

  • JULY 2013/03/20 08:13:18

    > ファイルをアップロードするには、CGIなどのサーバーのプログラムが必要になります。
    
    CSRF ってどういう攻撃か、理解してますか？
    
    CGI などの Web サーバサイドでプログラム側の欠陥（厳密に欠陥かどうかは、Web アプリケーションの仕様にもよるのですが）を突いて、罠サイトにアクセスすると、攻撃対象のサイトに POST するものを言います。
    
    つまり、ファイルのアップロードを受ける Web サイトで CSRF に対する脆弱性を持つ Web サイトがすでに存在している、という状態で、罠サイトを用意して、ユーザが気づかないうちに、その脆弱性を持つサイトにファイルをアップロード出来るか、という話です。
    
    詳しくは、「安全な Web アプリケーションの作り方」（通称：徳丸本）の 141 ページ以降を読んで下さい。

    スター

  • la-la-land 2013/03/22 02:15:34

    enctype=multipart/form-data とかの設定は要らないのでしょうか。
    書いてもらったプログラムと説明は、いまいちよくわかりませんでした。

    スター

JULY2013/03/22 22:50:18

0pt

まじめに CSRF に対する対策を知りたいのであれば、IPA が公開している「安全なウェブサイトの作り方」の「1.6 CSRF（クロスサイト・リクエスト・フォージェリ）」を読んで下さい。
情報処理推進機構：情報セキュリティ：脆弱性対策：安全なウェブサイトの作り方
下手なブログ記事なんかよりも、しっかりとした対策内容が書いてあります。

ただ、この資料は CSRF の仕組み自体に関しては簡単にしか書かれていません。もし、その辺をしっかり学びたければ、通称：徳丸本と呼ばれる、下記の本を読むことをお薦めします。



体系的に学ぶ 安全なWebアプリケーションの作り方　脆弱性が生まれる原理と対策の実践

• 作者: 徳丸浩
• 出版社/メーカー: ソフトバンククリエイティブ
• 発売日: 2011/03/03
• メディア: 大型本
• 購入: 119人 クリック: 4,279回
• この商品を含むブログ (132件) を見る

スター

sloto2013/03/23 00:31:16

0pt

Ａさんがホームページを開設しました。
Ｂさんがホームページを訪問した瞬間、パスワードを記録したpasswd.txtがＡさんのホームページのサーバにアップロードされました。

Ａさんはどのような攻撃方法をとったのでしょうか。ということでしたら、

img src="upload.php"として、upload.php読み込み時に指定したファイルパスを持つファイルがある場合、
それをアップロードするようあらかじめパスを書き込んだjavascriptを用意し、これとjquery.uploadで行う。

とかでしょうね。

ただ狙ったファイルのパスがわからないことにはアップロードさせようがありません。
passwd.txtが読み込んだ人のPC内にあったとして、
c:\usr\passwd.txtにあるのかc:\var\www\html\jquery\passwd.txtはクライアント以外にわからないからです。

逆にアップロードさせるファイルのパスがわかるのであれば、セキュリティにもよりますができるでしょう。

スター
• その他の回答を読む

この質問へのコメント

• rouge_20082013/03/19 19:00:13
  可能だと思いますが、攻撃方法を問うのは、人力検索はてな利用ガイドラインの下記の項目に該当すると思います。
  キャンセルした方がいいのではないでしょうか？
  
  http://q.hatena.ne.jp/help/guideline
  ---------------------------------------------------------------
  2.下記のような迷惑行為・嫌がらせ行為を行ってはいけません
  vi.不快感を与える回答、公序良俗に反する回答を募る質問を投稿する行為
  
  3.下記のような公序良俗に反する行為を行ってはいけません
  i.倫理的に問題がある低俗、有害、下品な内容を投稿する行為、およびそのような内容の投稿を募る行為
  v.犯罪行為、違法行為を教唆する内容を投稿する行為、およびそのような内容の投稿を募る行為
• la-la-land2013/03/22 02:18:45
  攻撃方法としくみを質問しましたが、悪質な目的があっての質問ではありません。
  攻撃方法をわからなければ対策方法を考えることができないと思ったからです。
  もちろん、ファイルアップロードの攻撃があるのであれば、対策方法を聞くのが一番ですが
  そういう攻撃自体を聞いたことがなかったので、あえてまず攻撃方法としくみを質問しました。

質問の情報

登録日時

2013-03-19 14:48:51

終了日時

2013-03-25 11:06:18

回答条件

1人5回まで

この質問のカテゴリ

• ウェブ制作

この質問に含まれるキーワード

人気の質問

• ブレインストーミングしてくれるサイト、webサービスがあったら色々教えてください 特定少数の人がアイデア…tak111日前
• 【今年の漢字】(2023年)を予想してみてください。 ※遠慮なく気軽にどうぞ。(^_^; ※参考URL http://www.ka…rsc232日前
• 不満なことを周りに当たり散らして会社で浮いた存在になるのと、辛抱して鬱病になるのは、どちらがマシで…coccinellab213日前
• こんな親友がいます（付き合い５年） LINEで話してる途中にyoutubeを見にいって会話を途切れさす 約束の時…匿名質問者12日前
• ホセ・フェリシアーノのケサラをカタカナ歌詞で歌いたいakoroma1日前

メニュー

• 質問一覧
• カテゴリ一覧
• 無料ユーザー登録
• 人力検索はてなトップ

PC版

• お問い合わせ
• ヘルプ
• お知らせ
• はてなトップ