Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CSRF対策のやり方、そろそろアップデートしませんか / Update your knowledge of CSRF protection

YAMAOKA Hiroyuki
March 08, 2024
Programming
26
19k

CSRF対策のやり方、そろそろアップデートしませんか / Update your knowledge of CSRF protection

PHPerKaigi 2024 • Day 1での登壇資料です。
https://phperkaigi.jp/2024/
https://fortee.jp/phperkaigi-2024/proposal/0d0f8507-0a53-46f6-bca6-23386d78f17f
※ Authorizationヘッダーを利用したBearerトークン等の活用については言及していません。

YAMAOKA Hiroyuki

March 08, 2024
Tweet

More Decks by YAMAOKA Hiroyuki

See All by YAMAOKA Hiroyuki
PHPで任意精度演算を行って「正しい」金額計算をする方法 / Perform arbitrary precision arithmetic in PHP to achieve "accurate" monetary calculations
hiro_y
2
1.6k
PHPのバージョンアップ実際のところどうなの? / How actually upgrade of PHP is
hiro_y
3
620
PHPのDI、attributesとこれから / PHP DI with attributes
hiro_y
1
1.8k
PHPのアノテーションの仕組みとメリット・デメリット / About PHP annotations
hiro_y
1
7.5k
株式会社 USEN Media - PHPカンファレンス北海道2019 / 2019-09-21_phpcondo-2019_usen-media
hiro_y
0
140
PHPのmiddlewareを 使いこなすために
hiro_y
3
2.2k
Slim Frameworkで始めるPHPのmiddleware
hiro_y
4
1.9k
Node.jsやPHPでも
こわくないHeroku
hiro_y
1
1.4k
やりたいことがひとつではない会社のはなし
hiro_y
0
770

Other Decks in Programming

See All in Programming
Elm Form Validation
bkuhlmann
0
510
PHPはいつから死んでいるかの調査
chiroruxx
1
400
Elm 0.19.0 Changes
bkuhlmann
0
490
FigmaとPHPで作る1ミリたりとも表示崩れしない最強の帳票印刷ソリューション
ttskch
43
19k
スキーマ駆動開発による品質とスピードの両立 - 私達は何故、スキーマを書くのか
kentaroutakeda
0
170
ADRを一年運用してみた/adr_after_a_year
hanhan1978
7
2.4k
Compose-View Interop in Practice (mDevCamp 2024)
stewemetal
0
140
SwiftUIで使いやすいToastの作り方 / How to build a Toast system which is easy to use in SwiftUI
lovee
3
150
GitHub Copilotのススメ
marcy731
1
200
PostmanでAPIの動作確認が楽になった話
h455h1
0
170
MicrosoftのPlatform Engineeringガイドを読んで実際になにかやってみた
ymd65536
1
340
Zero Waste, Radical Magic, and Italian Graft – Quarkus Efficiency Secrets
hollycummins
0
230

Featured

See All Featured
Build The Right Thing And Hit Your Dates
maggiecrowley
24
2k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
14
1.6k
How to Ace a Technical Interview
jacobian
272
22k
VelocityConf: Rendering Performance Case Studies
addyosmani
320
23k
Robots, Beer and Maslow
schacon
PRO
155
7.9k
The MySQL Ecosystem @ GitHub 2015
samlambert
243
12k
Building a Modern Day 
E-commerce SEO Strategy
aleyda
17
6.4k
No one is an island. Learnings from fostering a developers community.
thoeni
16
2.1k
Fontdeck: Realign not Redesign
paulrobertlloyd
76
4.9k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
19
1.7k
GitHub's CSS Performance
jonrohan
1025
450k
Reflections from 52 weeks, 52 projects
jeffersonlam
345
19k

Transcript

  1. 2024年3月8日 / PHPerKaigi 2024 • Day 1 合同会社テンマド 山岡広幸 CSRF対策のやり方、 そろそろアップデートしませんか

  2. 自己紹介 - 山岡広幸(やまおかひろゆき) - Bluesky: @hiroy.kotori.style - X: @hiro_y -

    PHPは大学のころ、バージョンは3のころから - 最近はSvelteKitとかも

  3. 会社をやっています - 合同会社テンマド - 代表社員/2024年6月で10周年! - 現在のメンバーは総勢で5名 - PHPエンジニア採用募集中!!

  4. お仕事先 - 株式会社イノベーター・ジャパン - 社外CTO/神宮前・柏・茅ヶ崎 - 株式会社GoQSystem - 技術顧問/京橋・岩国・広島 -

    広島で勉強会やるぞ…!

  5. さて、CSRF (発音: CSRF or “sea-surf")

  6. Cross Site Request Forgery

  7. Cross またいだ Site サイトを Request リクエストの Forgery 偽造行為

  8. IPAによる情報提供 - 安全なウェブサイトの作り方 - 1.6 CSRF(クロスサイト・リクエスト・フォージェリ) - 共通脆弱性情報データベース - https://jvndb.jvn.jp/ja/cwe/CWE-352.html

    - 「脆弱なコード例」としてPHPのコードが載っている

  9. CSRFの基本構造 出典: https://www.ipa.go.jp/security/vuln/websecurity/csrf.html

  10. 雑な解説 - 本来のサイトの正規ページを模倣した 悪意あるサイトの罠ページを用意 - 悪意あるサイトから本来のサイトに向けてリクエスト送信 - 意図しないパラメーターを含む等 攻撃的リクエスト(状態変更)を送ってしまう…

  11. 防御方法 1⃣ トークン

  12. 古来より伝わる防御方法 - サーバー側で予測不能な文字列(トークン)を生成、 セッションに保存し、トークンをフォームに埋め込み表示 - リクエストの際にトークンを含めるようにする - サーバー側でセッションで保持していたトークンと照合

  13. つまりこう

  14. Laravelの場合 - CSRF Protection - Laravel 10.x - Bladeテンプレートでは @csrf

    と書けばOK - <input name="_token"... - VerifyCsrfToken middlewareで検証

  15. トークン方式のメリット - 確実に防御することができる - 数多くのフレームワークで採用されている - Symfony、Ruby on Rails、Play Framework等

    - (フレームワークを使っていれば)お手軽に導入可能

  16. トークン方式のデメリット - (よく考えると)シンプルな実装とは言いがたい - トークンを保管するストレージが必要 - セッション用Cookieを改竄されてしまうと… - (XSS等がある時点でCSRFどころではないのでは…

  17. さて、最近の話

  18. アップデート していきましょう!

  19. このトークのきっかけ - SvelteKitを触っていた - あれ、CSRF対策とかどうするんだろう… hidden項目とか必要じゃないんだっけ?? - CookieのSameSite属性とかあったような… - よい機会なので調べてみよう!!

  20. 防御方法 2⃣ SameSite属性を 指定したCookie

  21. CookieのSameSite属性 - 【参考】 Site: 公開接尾辞リスト + 直前のドメイン名 - 指定できる値 -

    Strict: 同一siteの場合のみ送信 - Lax: 異なるsite間の場合、GETの場合だけ送信 - None: どんな場合でも送信

  22. つまりこう

  23. ブラウザごとに挙動に差異が… - デフォルト(=指定しない場合)の挙動が異なるので、 明示的にきちんと指定しよう - Chrome: Laxと同様だが、Cookieセット後2分間は POSTの場合でもCookieが送られる(Lax+POST) - Safari:

    None。「サイト越えトラッキングを防ぐ」 設定によりそもそも送られないことも

  24. SameSite属性利用のメリット - セッション用CookieにSameSite=Laxを指定する だけで防御を行うことができる(Strictでも可) - 異なるsiteからは送信されなくなるから お手軽でよさそう、なんだけど

  25. SameSite属性利用のデメリット - 古いブラウザはSameSite属性に対応していない - GETの場合はCookieが送られてしまう(Laxの場合) - そもそもGETで状態変更できるリクエストは… - Cookieを利用しないアプリケーションでは使えない -

    認証不要な場合とか

  26. さらに中間者攻撃のリスクも - “http://example.com" と “https://example.com" は同一siteなのか問題 - ブラウザによって考え方が違う… - HTTPな経路でリクエストが改竄されてしまった場合、

    攻撃を受けてしまう可能性がある

  27. SameSite属性利用まとめ - Lax、Strictのいずれかを明示的に指定 - 中間者攻撃への対策としてはHSTSを有効化 (includeSubdomainsの指定を忘れずに) - 防御として、緩和はできるが穴があることがわかった - さて…

    🤔

  28. 防御方法 3⃣ Originヘッダーを利用

  29. Originヘッダーとは - ブラウザがリクエスト時にOriginヘッダーを付与する - https://developer.mozilla.org/ja/docs/ Web/HTTP/Headers/Origin - 同一Origin間のリクエストでは、 GET・HEADの場合は付与されないので注意

  30. Originヘッダーを利用した防御 - リクエストのOriginヘッダーの値と サーバー側のホスト情報を照合 - 一致すれば正規なリクエスト、 一致しなければ不正なリクエストとして拒否 - そもそも送られてこなかったら拒否するようにする

  31. つまりこう

  32. Originヘッダー利用のメリット - 簡単、シンプルな手順で防御が可能 - 古いブラウザにも対応できる - Originヘッダーなしの場合、不正とみなす 最近採用されることが増えている

  33. SvelteKitの例 - https://kit.svelte.dev/docs/con fi guration#csrf - https://github.com/sveltejs/kit/issues/72 - 最初はトークン方式(いろいろ)が提案されるが、 Originヘッダーの利用で十分では?と結論

  34. Next.jsの例 - How to Think About Security in Next.js |

    Next.js (Server Actionsに関する記事) - Same-Site Cookieがブラウザで デフォルトで付くから防げるとか 🤔 (指定しようね) - HostとOriginのチェックも追加でやるよ、とのこと

  35. Honoの例 - https://hono.dev/middleware/builtin/csrf - https://github.com/honojs/hono/pull/1823 - SvelteKitでの議論を参考に実装した、とのこと - v4も出たし注目のフレームワーク

  36. 防御方法 4⃣ Sec-Fetch-* ヘッダーを利用

  37. Sec-Fetch-* ヘッダーとは - Sec-Fetch-Dest: fetchするリソースを使う形態 (documentとかimageとかfontとか) - Sec-Fetch-Mode: リクエストの形態 (navigateとかcorsとか)

    - Sec-Fetch-Site: リクエスト元Originとの関係 (same-originとかcross-siteとか)

  38. Sec-Fetch-* ヘッダーを利用 - Sec-Fetch-Siteがsame-originであること - Sec-Fetch-Modeがnavigateであること - Sec-Fetch-Destがdocumentであること - 以上をそれぞれ検証すればよさそう

  39. Sec-Fetch-* ヘッダー利用の特徴 - Originヘッダーの利用と同様にシンプルに防御可能 - ただし、ブラウザのサポートが割と最近 - https://caniuse.com/?search=Sec-Fetch- Site -

    使えるけど、Originヘッダー利用で必要十分ではある

  40. 結局どうすれば いいの?

  41. オススメパターン - 2⃣ セッション用CookieにはSameSite属性を指定 - __HOST- pre fi xを付けられるとなおよい -

    3⃣ サーバー側ではOriginヘッダーをチェック - 4⃣ 追加として、Sec-Fetch-* ヘッダーもチェック - 送られてきていたらチェックするぐらい

  42. でも結局のところ - フレームワークで用意されている方法を使うのが一番 - Web開発ではほとんどの場合フレームワークを使う - 1⃣ トークン方式も全然よいものだよ!!

  43. 今回話したかったこと (おまけ)

  44. エンジニアとしての心がけ - 使っているフレームワークのことをよく知ろう - 使い方も大事だけど、仕組みに興味を持ってほしい - その上で、それ以外のやり方がないか調べよう - 異なる言語・フレームワークを触るときにきっと役立つ

  45. ありがとう ございました!