ログインCSRFから保護する方法

匿名のCookieを使用

匿名ユーザーのCookieとして設定されている安全なトークンを生成しても問題ないが、サーバー側に格納しない場合は、単純に double submit cookies を使用できます。

例えば正当なユーザー：

1. Anonユーザーはログインページに移動し、ブラウザに送信されるCookieを受信します。
2. Anonユーザーがログインすると、ブラウザーはCookieをヘッダーおよび非表示のフォーム値として送信します。
3. ユーザーがログインしました。

これは攻撃者が悪用することはできません。次のことが起こるからです。

1. 攻撃者は信頼されたドメインにホストアカウントを作成します
2. 攻撃者は、このホストアカウントの資格情報を使用して、被害者のブラウザでログインリクエストを偽造します。ただし、攻撃者は被害者のCookie値にアクセスできず、リクエスト本文のCSRFトークンとして偽造することはできません。攻撃は失敗します。

サイトがHTTPS経由でのみアクセス可能で、正しく Secure Flag を設定している場合でも、攻撃者が潜在的に MiTMなので、このアプローチには注意が必要ですany 被害者から any HTTP Webサイトへの接続（攻撃者がもちろん適切に配置されている場合）、HTTP経由でドメインにリダイレクトします。これもMiTMです。次に、必要なCookie値を設定します。これは Session Fixation 攻撃になります。これを防ぐには、すでに設定されているCookie値を再利用するのではなく、Cookie値をヘッダーと非表示のフォームフィールド every にこの（ログイン）ページが読み込まれるたびに（HTTPS経由で）出力します。 。これは、ブラウザがセキュアフラグを設定できても、HTTPS接続を介してセキュアフラグなしでCookieを送信し、サーバーがセキュアフラグが設定されたかどうかを通知できないためです。 （Secure FlagなどのCookie属性は、Cookieが設定されている場合にのみ表示され、読み取られた場合には表示されません。サーバーが確認できるのはCookieの名前と値だけです。）実装 [〜＃〜] hsts [〜＃〜] は、サポートされているブラウザーでの保護に適したオプションです。

X-Frame-Options を設定して、UIによるクリックジャッキング攻撃を防止することをお勧めします（そうしないと、攻撃者はサイトの機能を使用して、ユーザー名とパスワードを事前に入力し、ユーザーがクリックして送信するのを待つ可能性があります。 CSRF値で）。

匿名のCookieなし

匿名ユーザーにCookieを設定したくない場合（サーバー側で追跡されている可能性があるため）、代わりに次の方法を使用できます。マルチステージログインフォーム。

最初の段階は、通常のユーザー名とパスワードの組み合わせです。

フォームが送信されると、別のフォームにリダイレクトされます。このフォームは、特別な中間認証トークンCookieとCSRFトークンによって保護されています。ここでの認証では、第2段階の認証の送信のみが許可されますが、アカウントでの他のアクションは許可されません（完全なログアウトを除く）。これにより、CSRFトークンが関連付けられ、この中間セッションでのみこのユーザーアカウントによって使用されるようになります。

ユーザーがドメインで完全に認証されるのは、トークンCookieとCSRF非表示フォーム値を含むこのフォームが送信されたときだけです。 CSRF攻撃を試みる攻撃者は、CSRFトークンを取得できず、完全なログイン試行は失敗します。

唯一の欠点は、ユーザーがログインを完了するために手動でクリックする必要があることです。 X-Frame-Options を設定して、これがUIのリドレスクリックジャッキング攻撃と組み合わせて使用​​されないようにすることをお勧めします。 JavaScriptを使用した自動送信は攻撃者にとって有益であり、攻撃が成功する可能性があります。そのため、現時点では、ユーザーが手動でクリックしたことしか確認できません。

これは次のように再生されます。

1. 攻撃者は信頼されたドメインにホストアカウントを作成します
2. 攻撃者は、このホストアカウントの資格情報を使用して、被害者のブラウザでログイン要求を偽造しますが、ステージ2を通過して完全に認証されることはできません
3. 攻撃者は被害者をだまして信頼済みサイトを使用させます-が完全に認証されていないため、サイトはユーザーが認証されていないかのように動作します