« 企業ユーザはPHP4からPHP5への移行は慎重にすべきどの言語で書いてもおかしなコードを書く奴は書く »

OpenIDのライブラリにはCSRFに脆弱な物が多い

このエントリーを含むはてなブックマーク このエントリーのはてなブックマーク数 この記事をクリップ! Buzzurlにブックマーク Yahoo!ブックマークに登録

GNUCitizenによると

CSRF - It comes very handy. It seams that no matter how much you talk about it, very few pay attention on the problem. And it is not a problem that you can afford to have. And among the XSS issues, which most OpenID libraries have, CSRF (Cross-site Request Forgery) seams to be the most pervasive form of attack.

http://www.gnucitizen.org/blog/hijacking-openid-enabled-accounts

とほとんどのOpenIDのライブラリはCSRFに脆弱だそうです。

tiny problemと書いてありますがとても重要な問題です。OpenIDのようなSSO (Single Sign On)システムが脆弱だとそれを利用しているシステム全体が危険にさらされます。

Follow up:

これは一目見るだけでCSRFに脆弱であることが分かります。

<form method="post">Add identity:
<input id="openid_url" name="openid_url" />
<input type="submit" value="Add" />
<input type="hidden" name="action" value="add_identity" >
</form>

Web開発者で分からない場合は直ぐにセキュリティ対策の書籍を購入された方が良いと思います。

久しぶりにAmazonの私のセキュリティ本のページを見ると「日本語が変」とコメントが付いてますね。このブログをお読みの方は私が文章を書くことがあまり得意でない事はよくお分かりだと思います(笑 日本語が変なので内容が信じられるか疑問とも書かれていますが、内容は大丈夫です。「プロアクティブなセキュリティ対策」などは先取りしすぎだったくらいかも知れません。

Webアプリセキュリティ対策入門を読んで理解されていれば、CSRFに脆弱なアプリケーションなど作らないはずなのです。
# といってもOpenIDのライブラリのほとんどは海外で作られていると思います。
# ところでこの本、あまり売れていないのでこのままでは次が無いと思います。
# AJAXセキュリティの本が書きたいのですけどね。残念。

初心者はセキュリティの事など考えずに作ればよい、といった意見も散見します。しかし、Webサイトの構築は自動車を作って売るのと同じと考えると、セキュリティが重要な事が分かると思います。

自動車は「外見がカッコよくて、そこそこ走れば良い」ものではありません。ブレーキが効かなかったり、ちょっとぶつかっただけで爆発したりすると困ります。その自動車を買って乗っている人だけでなく、周りのいる方にも多大な迷惑をかけます。

Webサイトも同じで「外見がカッコよくて、そこそこ使えれば良い」ものではありません。紹介されている脆弱なOpenIDライブラリを使えば、そのOpenIDを利用しているユーザに多大な迷惑をかける事になるかも知れません。XSSに脆弱であればマルウェア配布に利用されたり、クレデンシャルを盗まれる可能性があります。SQLインジェクションに脆弱でパスワード管理がいい加減だとユーザ名とパスワードを全部盗まれるかも知れません。SQLインジェクションに脆弱であれば恒久的なXSSやマルウェア配布用のJavaScriptを埋め込む事も簡単にできるケースが少なくありません。

Webサイトはたとえそれが小規模なサイト、個人サイトであっても「外見がカッコよくて、そこそこ使えれば良い」ものではありません。

追記:
OpenIDを採用しているサイトが危ない、ということではありません。認証情報を共有しているとサイトが危ないと言うことです。念のため。

上記のフォーム例だとCSRFでユーザの追加が可能であると思われます。不正にユーザが追加できる程度なら多くのサイトでtiny problemと言えるかも知れません。仮にこのブログの場合、不正にユーザが追加できるとファイルのアップロード(ファイル名も多分自由に変更できると思うのでApacheの脆弱性も攻撃可能)などで攻撃できそうです。管理者ならHTMLの編集もできるのでセッションIDを盗んだり、なんでも出来ます。

関連情報:
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-0570
The OpenID 5.x-1.0 and earlier module for Drupal does not properly verify the claimed_id returned by an OpenID provider, which allows remote OpenID providers to spoof OpenID authentication for domains associated with other providers.

This entry was posted on February 4th, 2008 at 07:14:07 and is filed under Security, Webシステム開発 PermalinkPermalink

このエントリーを含むはてなブックマーク このエントリーのはてなブックマーク数 この記事をクリップ! Buzzurlにブックマーク Yahoo!ブックマークに登録

1 comment

Comment from: Yasuo Ohgaki [Member] Email · http://www.ohgaki.net/
「脆弱でも攻撃されることはまれ」と思われている方も少なくない、と思います。

現在は営利目的の攻撃が当たり前なので、基本的にこれらの攻撃はほどんと表沙汰になりません。
http://blog.ohgaki.net/linux-apache
http://blog.ohgaki.net/ftp-cpanel
などの様にかなり自動化され、さらに普通に管理していただけではほとんど気が付かないような攻撃もあります。この攻撃では少なくとも1万台以上が感染しているとされています。マルウェア配布を行っているサイトは常時数十万ドメインあると言われています。

全体数からみると「攻撃されるのは、まれだ」と言えるかも知れませんが、これらの数字は氷山の一角でしかない、と考えた方が良いです。日本語サイトの場合、言語の壁があるのであまり実感がないのかも知れません。しかし、中国などからの自動化されたSQLインジェクション攻撃などは日常です。

先日、高校生が3600万円相当のゲーム通貨を不正に取得したニュースがありましたが、試しにやってみたら10分くらいでできた、そうです.... RMTが当たり前なご時世なようですがセキュリティに気を付けてないところはこの程度なのか.... と思っていまいます。

Webアプリケーションのセキュリティ対策は難しく考えられ過ぎです。プログラミングをきちんと習得することに比べてれば、実用レベルのセキュリティ対策の知識を身につけるのは容易です。これについては別エントリで書く事にします。
2008/02/04 @ 09:11

Leave a comment


Your email address will not be revealed on this site.

Your URL will be displayed.
PoorExcellent
(Line breaks become <br />)
(Name, email & website)
(Allow users to contact you through a message form (your email will not be revealed.)