ログインフォームにcsrf保護を設定しないことは安全ですか?
WordPressには管理者パネルのログインに対するcsrf保護がない/ wp-admin /です。実際に潜在的なリスクを負っていますか?可能性はありますか?攻撃者がこれを悪用する方法はありますか?
ログインフォームにcsrfトークンが必要ですか?
セッション寄付攻撃を防ぐために、CSRFトークンをログインフォームに適用することをお勧めします。これは、ユーザーをだましてリンクにアクセスさせ、ユーザーが制御するアカウントでログインできるようにするという考え方です。次に、ユーザーとしてログインしていることに気付かずに、秘密の情報をアカウントに保存することを含むアクションを実行し、それがアカウントに保存されます。
簡単な例は、ファイルアップロードサイトです。ユーザーをだましてログインさせようとすると、機密ファイルが自分のアカウントではなくアカウントにアップロードされ、そのファイルを盗む可能性があります。
Wordpressの場合、Wordpressが提供する機能に特に適用されず、wp-adminパネルが存在しないため、これはそれほど大きな問題ではありません。実際には、攻撃者が有効なアカウントを持っている「一般ユーザー」領域です。
ログインフォームにCSRFトークンが含まれていないシナリオでは、攻撃者が自分の資格情報を使用して攻撃者のアカウントへの被害者、ユーザーがログインしているアカウントを知らない場合、攻撃者は上記で提案したように、被害者が実行したアクション、被害者がアップロードした可能性のある機密ファイルを確認します。この攻撃はLogin CSRFと呼ばれます。
Wordpressはそれがリスクをもたらすとは考えていないようです。このような攻撃は、GoogleやYahooなどの主要企業に対して実証されています。ウィキペディアから:
ログインCSRFは、さまざまな新しい攻撃を可能にします。たとえば、攻撃者は後で正当な認証情報を使用してサイトにログインし、アカウントに保存されている活動履歴などの個人情報を表示できます。この攻撃は、GoogleとYahooに対して実証されています。
一般的には、ログインフォームに反CSRFメカニズムをOriginまたはCSRFトークンのいずれかをチェックすることをお勧めします。
上記のWikiページのソース: http://en.wikipedia.org/wiki/Cross-site_request_forgery#Forging_login_requests
詳細およびその他の攻撃シナリオについては、 http://www.ethicalhack3r.co.uk/login-cross-site-request-forgery-csrfを確認してください/
ログインフォームにcsrfトークンが必要ですか?
Wordpress-いいえ、そうではありません。ログインページはCSRFの影響を受けません。CSRFの前提は、ユーザーがアプリにすでに認証されていることです。不要なデータが送信されたとき。
OWASPごと:
「CSRFは、エンドユーザーが現在認証されているWebアプリケーションで不要なアクションを強制的に実行する攻撃です。ソーシャルエンジニアリング(電子メール/チャットを介してリンクを送信するなど)の場合、攻撃者はWebアプリケーションのユーザーに攻撃者が選択したアクションを実行させる可能性があります。CSRFの悪用に成功すると、通常のユーザーの場合、エンドユーザーのデータと操作が侵害される可能性があります。対象となるエンドユーザーは管理者アカウントです。これにより、Webアプリケーション全体が侵害される可能性があります。」
詳細については、次を参照してください: https://www.owasp.org/index.php/Top_10_2010-A5