0802徳丸.pdf

Transcript

1. 2017/08/02 ಙؙຊྠಡձ ηογϣϯϋΠδϟοΫ

2. ͜Ε·ͰͷྲྀΕ ΫϩεαΠτεΫϦϓςΟϯά(ాɾߥʣ SQLΠϯδΣΫγϣϯʢখʣ CSRFʢຢʣ

3. ͜Ε·ͰͷྲྀΕ ΫϩεαΠτεΫϦϓςΟϯά(ాɾߥʣ SQLΠϯδΣΫγϣϯʢখʣ CSRFʢຢʣ NEW!→ηογϣϯϋΠδϟοΫʢాʣ

4. ηογϣϯͷ͓͞Β͍

5. ηογϣϯͱ͸ ϩάΠϯ͔ͯ͠ΒϩάΞ΢τ͢Δ·ͰͷΑ͏ͳҰ࿈ͷखଓ͖ͷ͜ͱɻ ηογϣϯ؅ཧΛߦ͏͜ͱͰɺ௨ৗεςʔτϨεͳHTTPʹ͓͍ͯɺϩάΠϯ৘ ใ΍ΦϯϥΠϯγϣοϐϯάγεςϜͷΧʔτͳͲͷ৘ใΛอଘͯ͠ɺඞཁ ͳ࣌ʹऔΓग़͢͜ͱ͕Ͱ͖Δɻ

6. ηογϣϯϋΠδϟοΫͱ͸ ౪೉ɾਪଌͳͲͷํ๏ͰηογϣϯIDΛಛఆ͠ ΞΧ΢ϯτΛ৐ͬऔΔ߈ܸ

7. ηογϣϯϋΠδϟοΫͷ෼ྨ ֮͑Α͏ ਪଌɹ౪೉ɹڧ੍

8. ηογϣϯϋΠδϟοΫͷ෼ྨ ֮͑Α͏ ਪଌɹ౪೉ɹڧ੍

9. ਪଌՄೳͳηογϣϯID ʢཁ͢ΔʹɺצͰ౰ͯΕͦ͏ͳจࣈྻʣ

10. ਪଌՄೳͳηογϣϯID ਪଌՄೳͳηογϣϯʹର͢Δ߈ܸख๏ 1.ର৅ΞϓϦέʔγϣϯ͔ΒηογϣϯID ΛूΊΔ 2.ηογϣϯIDͷنଇੑͷԾઆΛཱͯΔ 3.ਪଌͨ͠ηογϣϯIDͰର৅ΞϓϦέʔγϣϯΛ߈ܸ ରࡦˠWEBΞϓϦέʔγϣϯ։ൃπʔϧͷηογϣϯػߏΛ࢖͏

11. ηογϣϯϋΠδϟοΫͷ෼ྨ ֮͑Α͏ ਪଌɹ౪೉ɹڧ੍

12. ౪೉ՄೳͳηογϣϯID URLʹηογϣϯIDؚ͕·Ε͍ͯΔ৔߹ ηογϣϯ ID ͕ URL ʹؚ·Ε ͍ͯΔͱɺͲͷϖʔδ͔Β ભҠ͖͔ͯͨ͠ϒϥ΢β͕ ૹ৴ͯ͘͠Δ

    REFERER ʹΑͬ ͯηογϣϯ ID ͕࿙Ӯ͢Δ ͜ͱ͕͋Γ·͢ɻηογϣ ϯ ID ͸ COOKIE ʹ֨ೲ͠ɺ COOKIE ʹ֨ೲͰ͖ͳ͍৔߹ʹ ΋ URL ʹηογϣϯ ID ؚ͕· Εͳ͍Α͏ʹઃఆ͓͖ͯ͠ ·͢ɻ

13. ηογϣϯϋΠδϟοΫͷ෼ྨ ֮͑Α͏ ਪଌɹ౪೉ɹڧ੍

14. ηογϣϯIDͷݻఆԽ ηογϣϯIDͷݻఆԽ߈ܸ͸ɺਖ਼نͷαΠτ͔ΒѱҙΛ࣋ͬͨϢʔβ͕ηογϣϯID Λऔಘ͠ɺͦͷηογϣϯIDΛଞͷϢʔβʹڧ੍͢Δɻ ڧ੍͞ΕͨηογϣϯIDͰϢʔβ͕ϩάΠϯΛߦͬͨ৔߹ɺͦͷηογϣϯIDΛݩʑ ஌͍ͬͯΔѱҙΛ࣋ͬͨϢʔβ͸ϩάΠϯͨ͠Ϣʔβʹ੒Γ୅Θͬͯૢ࡞Λߦ͏͜ͱ ͕Ͱ͖Δɻ

15. ηογϣϯIDͷݻఆԽ ରࡦˠϩάΠϯޙʹηογϣϯΛ৽نʹ࡞ΔʢηογϣϯIDͷ࠶ൃߦʣ ରࡦ̎ˠϩάΠϯޙʹηογϣϯIDͱ͸ผʹೝՄ͞Εͨ͜ͱΛূ໌͢Δ৘ใΛ෇Ճ͢Δɻ

16. ·ͱΊ

17. ·ͱΊ ɾηογϣϯ؅ཧػߏΛࣗ࡞͠ͳ͍ʢਪଌରࡦʣ →WEBΞϓϦέʔγϣϯ։ൃπʔϧΛ࢖͏ ɾURLʹηογϣϯIDΛຒΊࠐ·ͳ͍ʢ౪೉ରࡦʣ →ΫοΩʔͰηογϣϯIDΛ؅ཧ͢Δ ɾೝূ੒ޭ࣌ʹηογϣϯIDΛมߋ͢Δ(ڧ੍ରࡦʣ

18. ͝੩ௌ͋Γ͕ͱ͏͍͟͝·ͨ͠