Top > RO全般 > 「ガンホー公式にCSRFの脆弱性か。 セッション管理も……」

2008.10.08

ガンホー公式にCSRFの脆弱性か。 セッション管理も……

 LiveROの「ログイン方法変更対策スレ3」で、ガンホーゲームズ公式サイトの脆弱性が指摘されています。
 実装日に知人と、これってまずいよねーと言ってましたが、ついに指摘されてしまいましたので記事にします。
 脆弱性は、公開すると悪用されるので、気がついた場合はIPAや管理者へ報告して対策を待つべきです。

 クロスサイトリクエストフォージェリ(CSRF)と呼ばれるものです。
 簡単に説明すると、URLに含まれる別サイトに自動的に飛ばされるものです。
 参考:CSRFとは 【クロスサイトリクエストフォージェリ】 (Cross Site Request Forgeries) 
「URLの先頭が癌公式であっても、信用できないのでリンクは押さない」と
「自分のブラウザで、ちゃんとお気に入りから辿る」の2つを守ること。

 LiveROからの引用ですが、対策まで上記を守るようにしましょう。
 また、CSRFとは別な脆弱性を発見してIPAに報告してきました。早く対策が欲しいところです。

 詳しい内容は続きに。
 
 「ログイン方法変更対策スレ3」より引用
866 名前:前スレ142[sage] 投稿日:08/10/08(水) 14:58 ID:oY94WepQ0
>>863-864
OK、たしかにそうだ。隠したまま通告しても癌が無視するんなら、公開するしかないわな。
基本的に、気をつけてればなんとかなるレベルの話ではあるしな。


URLフィッシングの詳細

ttps://member.gungho.jp/front/guest/login.aspx?ReturnUrl=%2ffront%2fmember%2fwebgs%2frocenter.aspx
↑これが正しいログインURLね。
ReturnUrl で指定してあるのは、癌公式内の、相対パス。
つまり、ログイン成功したら、この場所にとべよ、ってことを指定してある。
これを、下のように変えてみる。

ttps://member.gungho.jp/front/guest/login.aspx?ReturnUrl=http:%2f%2fmixi.jp

ターゲットURLを「ttp://mixi.jp」にしておいた。
上のURLをクリックすると、ログイン画面→セキュリティパス認証画面と続いて、
ログイン完了後に、指定した外部URL「ttp://mixi.jp」にジャンプしてしまう。
IE7だとログイン前はmixiには飛ばないけど、ログイン後に踏むと飛ぶ。このへんはブラウザで挙動が違うらしい。

867 名前:前スレ142[sage] 投稿日:08/10/08(水) 14:59 ID:oY94WepQ0
これでなにができるか。

1番目。 シンプルに、外部サイトはいままでどおりの垢ハックサイトにすれば、垢ハック完了。
ただ、ログイン方法が今回変わったわけで、今までどおりの垢ハックが有効かどうかは知らない。
まあ、そんなことじゃちっとも安心できないけど。

2番目。ちょっと手が込んでる。
今回は飛び先がmixiだから、なんかおかしいとバレバレだけど、
このとび先が癌公式のログイン・ログアウト画面あたりにそっくりなものだったらどうだろうか。
「あれ、間違えてログアウトしたかな」と思って、よほど注意深くない限り、もう1回ログインしようとしないだろうか。
癌公式そっくりの偽サイトのページをそのままクリックしていって、ログインしようとする。
すると、そのIDパスワードを偽サイトがGet。
すぐさまメールでサイト作成者に伝えられ、ガンホーIDレベルで垢ハック完了。


正しい挙動は「ReturnUrlの引数に外部サイトを指示されても、無視しなければならない」ということ。
ログイン前のIE7ではそれができてるんだから、単にそれを全部に適用するだけで、別に難しいことではないはず。

参考URL:
ttp://en.yummy.stripper.jp/?eid=987602
ttp://takagi-hiromitsu.jp/diary/20070512.html

897 名前:(○口○*)さん[sage] 投稿日:08/10/08(水) 22:36 ID:OuFMaYji0
とりあえず、これって危険知らせる意味でも、
セキュリティスレ、職スレあたりに周知したほうがよいんじゃね?

こんな感じで。
-------------------------------------------------------
ログイン方法が変更になったことにより、「現状」セキュリティが「悪化」しています。
癌がまともに対策をするまでは、垢ハックの可能性がかなり増しています。

にゅ缶、LiveROをはじめとするBBS、あちこちのblog、wiki等を参照する際に
以下のようなURLが表示されていたとしても踏んではいけません。

例)
癌公式に掲載されていそうな、それらしい文章を書いて。

ソース(Webヘルプデスク)
ttps://member.gungho.jp/front/guest/login.aspx?ReturnUrl=http:%2f%2fgoogle.jp
(先頭は癌公式なので平気そうですが)     (後ろのほうが危険:今回はGoogle)

詳細はLiveRO、ログイン方法変更対策スレ3の866,867を参照してください。
悪用時のイメージは870〜872、899あたりがわかりやすい。
http://enif.mmobbs.com/test/read.cgi/livero/1222788902/866,867,889

読んでも意味がわからない人は
「URLの先頭が癌公式であっても、信用できないのでリンクは押さない」と
「自分のブラウザで、ちゃんとお気に入りから辿る」の2つを守ること。
-------------------------------------------------------

 このCSRFも、今日IPAに報告した脆弱性も、基本的な部分なので非常にがっかりしています。
 ガンホーゲーム公式には、こういった報告をする窓口が無いので、IPA経由になるのは仕方ありませんね。
 
 サイバーノーガード戦法は過去のもの、早い対策をお願いします。

関連記事

Trackback URL