SlideShare a Scribd company logo

Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性

J
JPCERT Coordination Center
1 of 22
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
Copyright©2013 JPCERT/CC All rights reserved. 「Javaアプリケーション脆弱性事例調査資料」について この資料は、Javaプログラマである皆様に、脆弱性を身 近な問題として感じてもらい、セキュアコーディングの 重要性を認識していただくことを目指して作成していま す。 「Javaセキュアコーディングスタンダード CERT/Oracle版」と合わせて、セキュアコーディングに 関する理解を深めるためにご利用ください。 JPCERTコーディネーションセンター セキュアコーディングプロジェクト secure-coding@jpcert.or.jp 1 Japan Computer Emergency Response Team Coordination Center 電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=JP, st=Tokyo, l=Chiyoda-ku, email=office@jpcert.or.jp, o=Japan Computer Emergency Response Team Coordination Center, cn=Japan Computer Emergency Response Team Coordination Center 日付 : 2013.09.30 16:18:56 +09'00'
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF)保護メカニズム回避の脆弱性 CVE-2012-4431 JVNDB-2012-005750 2
Copyright©2013 JPCERT/CC All rights reserved. Apache Tomcatとは Java Servlet や JavaServer Pages (JSP) を実行するため のサーブレットコンテナ(サーブレットエンジン) CSRF対策のために、トークンを使ったリクエスト フォームの検証機能が実装されている 3
Copyright©2013 JPCERT/CC All rights reserved. 脆弱性の概要 Apache Tomcatには、クロスサイトリクエストフォー ジェリ対策をバイパスできる脆弱性が存在する 脆弱性を悪用されることで、被害者が意図しない操作を 実行させられる可能性がある Apache Tomcat上で展開されるWebアプリケーションの 機能を不正に実行させることが可能となる 4 バイパス!! 被害者 攻撃成功!!
Copyright©2013 JPCERT/CC All rights reserved. 通常の処理フロー 5 サイト停止機能を実行する際のApache Tomcatの処理フロー ① Tomcat Managerにクライアント(サイト管理者)がBasic認証でログイン する。 ② 管理者画面にアクセス時に、アプリケーションはトークンを発行しForm 要素に埋め込む。さらにセッション変数にトークンを格納する ③ クライアントがサイト停止機能を実行しリクエストが送信される。 ④ アプリケーションは送信されてきたトークンとセッション変数に格納さ れているトークンが同一かを検証する ⑤ アプリケーションがリクエストを受信し、処理を実行する。 ⑥ 結果を含むレスポンスがクライアント(サイト管理者)へ送信される。 Tomcat Webアプリケーションマネージャのサイト停止機能における処理フ ローを解説する。
Copyright©2013 JPCERT/CC All rights reserved. サイト停止機能実行時 6 アプリケーションはリクエストを受信後、CSRFトークンを検証を実施し、正規 のトークンが送信されてきたときのみに機能を実行する。 GET /manager/html/stop?path=/&org.apache.catalina.filters.CSRF_NONCE=1A740989DB7347FB6FE1FF02EC6A2C59 HTTP/1.1 : Host: www.example.com Cookie: JSESSIONID=F11C4A2BDEE2759214A79D46F69B283E Authorization: Basic Og== HTTPリクエスト サイトの停止 CSRFトークンは付与され、検証もされている。 トークン セッション オブジェク ト 検証!! トークン
Copyright©2013 JPCERT/CC All rights reserved. doFilterメソッドによるトークンの検証 7 トークンの検証はCsrfPreventionFilterクラスの doFilter メソッドで 実行される。 public class CsrfPreventionFilter… public void doFilter(… CsrfPreventionFilter .java HTTPリクエスト トークンの検証処理
Copyright©2013 JPCERT/CC All rights reserved. doFilterメソッドによるトークンの検証: セッションからトークンの取得 8 public class CsrfPreventionFilter extends FilterBase { : public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException { : HttpServletRequest req = (HttpServletRequest) request; : @SuppressWarnings("unchecked") LruCache<String> nonceCache = (LruCache<String>) req.getSession(true).getAttribute( Constants.CSRF_NONCE_SESSION_ATTR_NAME); if (!skipNonceCheck) { String previousNonce = req.getParameter(Constants.CSRF_NONCE_REQUEST_PARAM); ...(B) if (nonceCache != null &&!nonceCache.contains(previousNonce)) { ...(C) res.sendError(HttpServletResponse.SC_FORBIDDEN); //エラー処理 return; } } リクエストのセッションからセッ ション変数を取得し、変数 nonceCacheに格納する。 文字列 "org.apache.catalina.filters.CSRF_NONCE" セッション オブジェクト nonceCache トークントークン CsrfPreventionFilter.java
Copyright©2013 JPCERT/CC All rights reserved. doFilterメソッドによるトークンの検証: リクエストからトークンの取得 9 public class CsrfPreventionFilter extends FilterBase { : public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException { : HttpServletRequest req = (HttpServletRequest) request; : @SuppressWarnings("unchecked") LruCache<String> nonceCache = (LruCache<String>) req.getSession(true).getAttribute( Constants.CSRF_NONCE_SESSION_ATTR_NAME); if (!skipNonceCheck) { String previousNonce = req.getParameter(Constants.CSRF_NONCE_REQUEST_PARAM); if (nonceCache != null &&!nonceCache.contains(previousNonce)) { res.sendError(HttpServletResponse.SC_FORBIDDEN); //エラー処理 return; } } CsrfPreventionFilter.java リクエストのパラメータから変数を取得し、 変数previousNonceに格納する。 文字列 "org.apache.catalina.filters.CSRF_NONCE" GET /manager/html/stop?path=/&org.apache.catalina.filters.CSR F_NONCE=1A740989DB7347FB6FE1FF02EC6A2C59 HTTP/1.1 : Host: www.example.com Cookie: JSESSIONID=F11C4A2BDEE2759214A79D46F69B283E Authorization: Basic Og== HTTPリクエスト previousNonce トークン
Copyright©2013 JPCERT/CC All rights reserved. doFilterメソッドによるトークンの取得: トークンの比較 10 public class CsrfPreventionFilter extends FilterBase { : public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException { : HttpServletRequest req = (HttpServletRequest) request; : @SuppressWarnings("unchecked") LruCache<String> nonceCache = (LruCache<String>) req.getSession(true).getAttribute( Constants.CSRF_NONCE_SESSION_ATTR_NAME); if (!skipNonceCheck) { String previousNonce = req.getParameter(Constants.CSRF_NONCE_REQUEST_PARAM); if (nonceCache != null &&!nonceCache.contains(previousNonce)) { res.sendError(HttpServletResponse.SC_FORBIDDEN); //エラー処理 return; } ://正常処理 } トークンの検証処理を実行する。 下記の2つの条件が両方とも成り立つ場合は エラーとして処理される。 ① 変数nonceCacheの値に変数 previousNonceが含まれていない。 ② 変数nonceCacheがnullでない。 previousNonc e トークン nonceCache トークン 条件①:nonceCacheにpreviousNonce の値が含まれているか? nonceCache トークン 条件②:nonceCacheはnullでないか? Is not null ? 条件①、②がともに成立しないときに正常処理となる。 CsrfPreventionFilter.java
Copyright©2013 JPCERT/CC All rights reserved. 攻撃コード (正常なリクエストとの比較) 11 ■攻撃コードのポイント リクエストに含まれるトークン (GETパラメータの ord.apache.catalina.filters.CSRF_NONCE) とセッション(Cookieヘッダ)が削除さ れている GET /manager/html/stop?path=/&org.apache.catalina.filters.CSRF_NONCE=1A74098 9DB7347FB6FE1FF02EC6A2C59 HTTP/1.1 Host: www.example.com : Cookie: JSESSIONID=F11C4A2BDEE2759214A79D46F69B283E Authorization: Basic Og== 通常のリクエスト トークン セッション GET /manager/html/stop?path=/ HTTP/1.1 Host: www.example.com : Authorization: Basic Og== 攻撃コード ついていない
Copyright©2013 JPCERT/CC All rights reserved. サイト停止機能を実行する際のApache Tomcatの処理フロー ① Tomcat Managerにクライアント(サイト管理者)がBasic認証でログイン する。 ② 管理者画面にアクセス時に、アプリケーションはトークンを発行しForm 要素に埋め込む。さらにセッション変数にトークンを格納する ③ クライアントがサイト停止機能を実行しリクエストが送信される。 ④ アプリケーションは送信されてきたトークンとセッション変数に格納さ れているトークンが同一かを検証する ⑤ アプリケーションがリクエストを受信し、処理を実行する。 ⑥ 結果を含むレスポンスがクライアント(サイト管理者)へ送信される。 攻撃コード実行時の処理フロー 12 ④の検証処理が不十分だった!!
Copyright©2013 JPCERT/CC All rights reserved. ④ 送信されてきたトークンとセッション変数のトークンの検証 13 public class CsrfPreventionFilter extends FilterBase { : public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException { : HttpServletRequest req = (HttpServletRequest) request; : @SuppressWarnings("unchecked") LruCache<String> nonceCache = (LruCache<String>) req.getSession(true).getAttribute( Constants.CSRF_NONCE_SESSION_ATTR_NAME); if (!skipNonceCheck) { String previousNonce = req.getParameter(Constants.CSRF_NONCE_REQUEST_PARAM); ...(B) if (nonceCache != null &&!nonceCache.contains(previousNonce)) { ...(C) res.sendError(HttpServletResponse.SC_FORBIDDEN); //エラー処理 return; } } リクエストのセッションからセッ ション変数を取得し、変数 nonceCacheに格納する。 文字列 "org.apache.catalina.filters.CSRF_NONCE" トークン セッション オブジェクト nonceCache トークン nonceCache null CsrfPreventionFilter.java 攻撃コードではセッ ションが削除されて おり、セッションオ ブジェクトが存在し ないため、nullが格 納される。
Copyright©2013 JPCERT/CC All rights reserved. ④ 送信されてきたトークンとセッション変数のトークンの検証 14 public class CsrfPreventionFilter extends FilterBase { : public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException { : HttpServletRequest req = (HttpServletRequest) request; : @SuppressWarnings("unchecked") LruCache<String> nonceCache = (LruCache<String>) req.getSession(true).getAttribute( Constants.CSRF_NONCE_SESSION_ATTR_NAME); if (!skipNonceCheck) { String previousNonce = req.getParameter(Constants.CSRF_NONCE_REQUEST_PARAM); if (nonceCache != null &&!nonceCache.contains(previousNonce)) { ...(C) res.sendError(HttpServletResponse.SC_FORBIDDEN); //エラー処理 return; } } リクエストのパラメータから変数を取 得し、変数previousNonceに格納する。 文字列 "org.apache.catalina.filters.CSRF_NONCE" GET /manager/html/stop?path=/ HTTP/1.1 Host: www.example.com : Authorization: Basic Og== HTTPリクエスト previousNonce null CsrfPreventionFilter.java 攻撃コードにはトーク ンが含まれていないの でnullが格納される。
Copyright©2013 JPCERT/CC All rights reserved. ④ 送信されてきたトークンとセッション変数のトークンの検証 15 public class CsrfPreventionFilter extends FilterBase { : public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException { : HttpServletRequest req = (HttpServletRequest) request; : @SuppressWarnings("unchecked") LruCache<String> nonceCache = (LruCache<String>) req.getSession(true).getAttribute( Constants.CSRF_NONCE_SESSION_ATTR_NAME); if (!skipNonceCheck) { String previousNonce = req.getParameter(Constants.CSRF_NONCE_REQUEST_PARAM); if (nonceCache != null &&!nonceCache.contains(previousNonce)) { res.sendError(HttpServletResponse.SC_FORBIDDEN); //エラー処理 return; } ://正常処理 } トークンの検証処理を実行する。 下記の2つの条件が両方とも成り立つ場合は エラーとして処理される。 ① 変数nonceCacheの値に変数 previousNonceが含まれていない。 ② 変数nonceCacheがnullでない。 CsrfPreventionFilter.java
Copyright©2013 JPCERT/CC All rights reserved. ④ 送信されてきたトークンとセッション変数のトークンの検証 16 public class CsrfPreventionFilter extends FilterBase { : public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException { : HttpServletRequest req = (HttpServletRequest) request; : @SuppressWarnings("unchecked") LruCache<String> nonceCache = (LruCache<String>) req.getSession(true).getAttribute( Constants.CSRF_NONCE_SESSION_ATTR_NAME); if (!skipNonceCheck) { String previousNonce = req.getParameter(Constants.CSRF_NONCE_REQUEST_PARAM); if (nonceCache != null &&!nonceCache.contains(previousNonce)) { res.sendError(HttpServletResponse.SC_FORBIDDEN); //エラー処理 return; } ://正常処理 } トークンの検証処理を実行する。 下記の2つの条件が両方とも成り立つ場合は エラーとして処理される。 ① 変数nonceCacheの値に変数 previousNonceが含まれていない。 ② 変数nonceCacheがnullでない。 CsrfPreventionFilter.java ①は正常なトークンの検証処理のため問題ないが、問題は② の条件。 「変数nonceCacheがnull」=「セッションがそのものが存在 しない」 であり、セッション自体を削除する(Cookieヘッダを削除す る)ことで変数nonceCacheがnullとなり、このトークンの検 証処理をバイパスすることができる!!
Copyright©2013 JPCERT/CC All rights reserved. セッションを削除したリクエストの処理 17 通常、セッションを削除(Cookieヘッダを削除)してしまうと、Webアプリケー ションはユーザーを認識できなくなり、認証エラーが発生する。 セッション(Cookie)なしの HTTPリクエスト しかし、Apache TomcatのTomcat WebアプリケーションマネージャはBasic 認証を使用しており、認証にセッション(Cookieヘッダ)を使用していない。 CSRF対策であるトークン検証処理にてセッション(Cookieヘッダ)が無い場合を 想定していなかったため、認証エラーが発生せず機能が実行されてしまう!! セッション(Cookie)なしの HTTPリクエスト ※Basic認証ではAuthorizationヘッダを使用する 通常の Webサイト 一般のWebアプリ
Copyright©2013 JPCERT/CC All rights reserved.18 今回のアプリケーションにおける具体的な問題点 セッションが存在しないケース(Cookie以外によるセッ ション管理)を想定していなかった。 セッションが存在しない場合は、CSRF対策をパスしてし まっていた。 問題点に対してどうすべきだったか。 アプリケーションの仕様(今回の場合はセッションの管理 方式)を確認し、適切なCSRF対策を選択する必要があっ た。
Copyright©2013 JPCERT/CC All rights reserved. サイト停止機能を実行する際のApache Tomcatの処理フロー ① Tomcat Managerにクライアント(サイト管理者)がBasic認証でログイ ンする。 ② 管理者画面にアクセス時に、アプリケーションはトークンを発行しForm 要素に埋め込む。さらにセッション変数にトークンを格納する ③ クライアントがサイト停止機能を実行しリクエストが送信される。 ④ アプリケーションは送信されてきたトークンとセッション変数に格納さ れているトークンが同一かを検証する ⑤ アプリケーションがリクエストを受信し、処理を実行する。 ⑥ 結果を含むレスポンスがクライアント(サイト管理者)へ送信される。 修正版コード 19 ④の処理におけるコードが修正されている 脆弱性はバージョン7.0.32、6.0.36にて修正が適用されている
Copyright©2013 JPCERT/CC All rights reserved. 修正版コード 20 public class CsrfPreventionFilter extends FilterBase { : public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException {: HttpServletRequest req = (HttpServletRequest) request;: HttpSession session = req.getSession(false); @SuppressWarnings("unchecked") LruCache<String> nonceCache = (session == null) ? null : (LruCache<String>) session.getAttribute( Constants.CSRF_NONCE_SESSION_ATTR_NAME); if (!skipNonceCheck) { String previousNonce = req.getParameter(Constants.CSRF_NONCE_REQUEST_PARAM); if (nonceCache == null || previousNonce == null || !nonceCache.contains(previousNonce)) { res.sendError(denyStatus); return; } } ://正常処理 } セッションがnullである 場合、またはリクエス トにトークンが含まれ ていない場合はエラー として処理する CsrfPreventionFilter.java
Copyright©2013 JPCERT/CC All rights reserved. 参考文献 ■ OWASP CSRFGuard Project https://www.owasp.org/index.php/Category:OWASP_CSRFGuard_Project ■ IPA ISEC セキュア・プログラミング講座: Webアプリケーション編 第4章 セッション対策:リクエスト強要(CSRF)対策 https://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/301.html ■安全なウェブサイトの作り方、IPA https://www.ipa.go.jp/security/vuln/websecurity.html 21
Copyright©2013 JPCERT/CC All rights reserved. 著作権・引用や二次利用について 本資料の著作権はJPCERT/CCに帰属します。 本資料あるいはその一部を引用・転載・再配布する際は、引用元名、資料名および URL の明示を お願いします。 記載例 引用元:一般社団法人JPCERTコーディネーションセンター Java アプリケーション脆弱性事例解説資料 Apache Tomcat における CSRF 保護メカニズム回避の脆弱性 https://www.jpcert.or.jp/securecoding/2012/No.09_Apache_Tomcat.pdf 本資料を引用・転載・再配布をする際は、引用先文書、時期、内容等の情報を、JPCERT コーディ ネーションセンター広報(office@jpcert.or.jp)までメールにてお知らせください。なお、この連絡 により取得した個人情報は、別途定めるJPCERT コーディネーションセンターの「プライバシーポ リシー」に則って取り扱います。 本資料の利用方法等に関するお問い合わせ JPCERTコーディネーションセンター 広報担当 E-mail:office@jpcert.or.jp 本資料の技術的な内容に関するお問い合わせ JPCERTコーディネーションセンター セキュアコーディング担当 E-mail:secure-coding@jpcert.or.jp 22

More Related Content

PDF
クロスサイトリクエストフォージェリ(CSRF)とその対策
JPCERT Coordination Center
 
PDF
Elasticsearchを使うときの注意点 公開用スライド
崇介 藤井
 
PDF
2 TomcatによるWebアプリケーションサーバ構築 第2章 Tomcat概要(2)-セッション
Enpel
 
PPTX
backlogsでもCI/CDする夢を見る
Takeru Maehara
 
PPTX
FAPI and beyond - よりよいセキュリティのために
Nat Sakimura
 
PDF
Springを何となく使ってる人が抑えるべきポイント
土岐 孝平
 
PDF
Mavenの真実とウソ
Yoshitaka Kawashima
 
PDF
私たちはRESTCONFでネットワーク自動化的に何が嬉しくなるのか考えてみた
akira6592
 
クロスサイトリクエストフォージェリ(CSRF)とその対策
JPCERT Coordination Center
 
Elasticsearchを使うときの注意点 公開用スライド
崇介 藤井
 
2 TomcatによるWebアプリケーションサーバ構築 第2章 Tomcat概要(2)-セッション
Enpel
 
backlogsでもCI/CDする夢を見る
Takeru Maehara
 
FAPI and beyond - よりよいセキュリティのために
Nat Sakimura
 
Springを何となく使ってる人が抑えるべきポイント
土岐 孝平
 
Mavenの真実とウソ
Yoshitaka Kawashima
 
私たちはRESTCONFでネットワーク自動化的に何が嬉しくなるのか考えてみた
akira6592
 

What's hot (20)

PDF
入社1年目のプログラミング初心者がSpringを学ぶための手引き
土岐 孝平
 
PDF
サーバPUSHざっくりまとめ
Yasuhiro Mawarimichi
 
PDF
Form認証で学ぶSpring Security入門
Ryosuke Uchitate
 
PDF
Airflowを広告データのワークフローエンジンとして運用してみた話
Katsunori Kanda
 
ODP
Anypoint platform architecture and components
D.Rajesh Kumar
 
PDF
Spring Bootをはじめる時にやるべき10のこと
心 谷本
 
PDF
40歳過ぎてもエンジニアでいるためにやっていること
onozaty
 
PDF
SQLアンチパターン読書会 第10章 サーティワンフレーバー
tkfuji
 
PPT
Spm unit 1
sweetyammu
 
PDF
コンテナ時代のOpenStack
Akira Yoshiyama
 
PDF
AWS エンジニア育成における効果的なトレーニング活用のすすめ
Trainocate Japan, Ltd.
 
PDF
ASP.NETの進化とASP.NET Core Blazorの凄さ
Sho Okada
 
PDF
俺のTerraform CI/CD ライフサイクル
HonMarkHunt
 
PDF
怖くないSpring Bootのオートコンフィグレーション
土岐 孝平
 
PPTX
はじめてのElasticsearchクラスタ
Satoyuki Tsukano
 
PPTX
AWS Lambdaのテストで役立つ各種ツール
Masaki Suzuki
 
PPTX
Springboot Microservices
NexThoughts Technologies
 
PDF
Microsoft Graph APIを活用した社内アプリケーション開発
Yuki Hattori
 
PPTX
Spring Webflux
Carlos E. Salazar
 
PDF
【BS4】時は来たれり。今こそ .NET 6 へ移行する時。
日本マイクロソフト株式会社
 
入社1年目のプログラミング初心者がSpringを学ぶための手引き
土岐 孝平
 
サーバPUSHざっくりまとめ
Yasuhiro Mawarimichi
 
Form認証で学ぶSpring Security入門
Ryosuke Uchitate
 
Airflowを広告データのワークフローエンジンとして運用してみた話
Katsunori Kanda
 
Anypoint platform architecture and components
D.Rajesh Kumar
 
Spring Bootをはじめる時にやるべき10のこと
心 谷本
 
40歳過ぎてもエンジニアでいるためにやっていること
onozaty
 
SQLアンチパターン読書会 第10章 サーティワンフレーバー
tkfuji
 
Spm unit 1
sweetyammu
 
コンテナ時代のOpenStack
Akira Yoshiyama
 
AWS エンジニア育成における効果的なトレーニング活用のすすめ
Trainocate Japan, Ltd.
 
ASP.NETの進化とASP.NET Core Blazorの凄さ
Sho Okada
 
俺のTerraform CI/CD ライフサイクル
HonMarkHunt
 
怖くないSpring Bootのオートコンフィグレーション
土岐 孝平
 
はじめてのElasticsearchクラスタ
Satoyuki Tsukano
 
AWS Lambdaのテストで役立つ各種ツール
Masaki Suzuki
 
Springboot Microservices
NexThoughts Technologies
 
Microsoft Graph APIを活用した社内アプリケーション開発
Yuki Hattori
 
Spring Webflux
Carlos E. Salazar
 
【BS4】時は来たれり。今こそ .NET 6 へ移行する時。
日本マイクロソフト株式会社
 
Ad

Viewers also liked (20)

PDF
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
JPCERT Coordination Center
 
PDF
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性
JPCERT Coordination Center
 
PDF
Blojsom におけるクロスサイトスクリプティングの脆弱性
JPCERT Coordination Center
 
PDF
MySQL Connector/J における SQL インジェクションの脆弱性
JPCERT Coordination Center
 
PDF
Advanced SQL Injection Attack & Defenses
Tiago Mendo
 
PPT
Advanced sql injection
badhanbd
 
PDF
OWASP ZAP(など)で挑む SECCON
Jun Matsumoto
 
PDF
Apache Axis2におけるXML署名検証不備
JPCERT Coordination Center
 
PDF
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)
JPCERT Coordination Center
 
PDF
JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)
JPCERT Coordination Center
 
PDF
JBoss Application Server におけるディレクトリトラバーサルの脆弱性
JPCERT Coordination Center
 
PDF
Lessons (to be) Learned from Handling OpenSSL Vulnerabilities
JPCERT Coordination Center
 
PDF
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
JPCERT Coordination Center
 
PDF
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
JPCERT Coordination Center
 
PPTX
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性
JPCERT Coordination Center
 
PDF
デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」
JPCERT Coordination Center
 
PDF
It all starts with the ' (SQL injection from attacker's point of view)
Miroslav Stampar
 
PDF
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...
JPCERT Coordination Center
 
PDF
脆弱性情報はこうしてやってくる
JPCERT Coordination Center
 
PDF
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
JPCERT Coordination Center
 
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
JPCERT Coordination Center
 
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性
JPCERT Coordination Center
 
Blojsom におけるクロスサイトスクリプティングの脆弱性
JPCERT Coordination Center
 
MySQL Connector/J における SQL インジェクションの脆弱性
JPCERT Coordination Center
 
Advanced SQL Injection Attack & Defenses
Tiago Mendo
 
Advanced sql injection
badhanbd
 
OWASP ZAP(など)で挑む SECCON
Jun Matsumoto
 
Apache Axis2におけるXML署名検証不備
JPCERT Coordination Center
 
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)
JPCERT Coordination Center
 
JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)
JPCERT Coordination Center
 
JBoss Application Server におけるディレクトリトラバーサルの脆弱性
JPCERT Coordination Center
 
Lessons (to be) Learned from Handling OpenSSL Vulnerabilities
JPCERT Coordination Center
 
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
JPCERT Coordination Center
 
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
JPCERT Coordination Center
 
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性
JPCERT Coordination Center
 
デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」
JPCERT Coordination Center
 
It all starts with the ' (SQL injection from attacker's point of view)
Miroslav Stampar
 
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...
JPCERT Coordination Center
 
脆弱性情報はこうしてやってくる
JPCERT Coordination Center
 
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
JPCERT Coordination Center
 
Ad

Similar to Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性 (20)

PDF
Apache Struts2 における任意の Java メソッド実行の脆弱性
JPCERT Coordination Center
 
PDF
Backend for Frontend を活用した 安全な OpenID Connect 認証認可の実現
Kazuki Ogiwara
 
PPTX
Cve 2013-0422
abend_cve_9999_0001
 
PPT
tech talk about JS #0
Hika Maeng
 
PPTX
ななめ45°から見たJavaOne
AdvancedTechNight
 
PDF
Laravelとテストについて
Takeo Noda
 
PDF
東京Node学園#8 Let It Crash!?
koichik
 
PDF
MEANスタック提案プレゼンテーション
Takumi Yokoyama
 
PDF
Java SE 8におけるHotSpotの進化 [Java Day Tokyo 2014 C-2]
David Buck
 
PDF
Java/Androidセキュアコーディング
Masaki Kubo
 
PDF
Awsで実現するseleniumテスト高速術
finoue
 
PDF
Javaで1から10まで書いた話(sanitized)
Tokuhiro Matsuno
 
PDF
Java デバッガ活用術 ~勘デバッグ・print デバッグから抜けだそう~ #jjug_ccc #ccc_h4
Yusuke Yamamoto
 
PDF
HeapStats @ Seasar Conference 2015 LT
Yuji Kubota
 
PDF
Mk state in-programming-01
Miya Kohno
 
PDF
Network Programmability and the statefulness/transactionality
Miya Kohno
 
PDF
マイクロフレームワークEnkan(とKotowari)ではじめるREPL駆動開発
Yoshitaka Kawashima
 
PDF
[AC06] クラウド・ネイティブなスケーラブル・アプリ開発のために~12 Factor App on Kubernetes on Azure
de:code 2017
 
PDF
Javaの進化にともなう運用性の向上はシステム設計にどういう変化をもたらすのか
Yoshitaka Kawashima
 
PDF
jQuery Validation x ASP.NET MVC で遭遇した不具合 & 対抗ハック
Jun-ichi Sakamoto
 
Apache Struts2 における任意の Java メソッド実行の脆弱性
JPCERT Coordination Center
 
Backend for Frontend を活用した 安全な OpenID Connect 認証認可の実現
Kazuki Ogiwara
 
Cve 2013-0422
abend_cve_9999_0001
 
tech talk about JS #0
Hika Maeng
 
ななめ45°から見たJavaOne
AdvancedTechNight
 
Laravelとテストについて
Takeo Noda
 
東京Node学園#8 Let It Crash!?
koichik
 
MEANスタック提案プレゼンテーション
Takumi Yokoyama
 
Java SE 8におけるHotSpotの進化 [Java Day Tokyo 2014 C-2]
David Buck
 
Java/Androidセキュアコーディング
Masaki Kubo
 
Awsで実現するseleniumテスト高速術
finoue
 
Javaで1から10まで書いた話(sanitized)
Tokuhiro Matsuno
 
Java デバッガ活用術 ~勘デバッグ・print デバッグから抜けだそう~ #jjug_ccc #ccc_h4
Yusuke Yamamoto
 
HeapStats @ Seasar Conference 2015 LT
Yuji Kubota
 
Mk state in-programming-01
Miya Kohno
 
Network Programmability and the statefulness/transactionality
Miya Kohno
 
マイクロフレームワークEnkan(とKotowari)ではじめるREPL駆動開発
Yoshitaka Kawashima
 
[AC06] クラウド・ネイティブなスケーラブル・アプリ開発のために~12 Factor App on Kubernetes on Azure
de:code 2017
 
Javaの進化にともなう運用性の向上はシステム設計にどういう変化をもたらすのか
Yoshitaka Kawashima
 
jQuery Validation x ASP.NET MVC で遭遇した不具合 & 対抗ハック
Jun-ichi Sakamoto
 

More from JPCERT Coordination Center (12)

PDF
いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~
JPCERT Coordination Center
 
PDF
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
JPCERT Coordination Center
 
PDF
DLL読み込みの問題を読み解く
JPCERT Coordination Center
 
PDF
WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』
JPCERT Coordination Center
 
PDF
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
JPCERT Coordination Center
 
PDF
ソフトウェアセキュリティ保証成熟度モデル
JPCERT Coordination Center
 
PDF
Android Secure Coding
JPCERT Coordination Center
 
PDF
Apache Sling におけるサービス運用妨害(無限ループ)の脆弱性
JPCERT Coordination Center
 
PDF
Javaセキュアコーディングセミナー東京第2回演習の解説
JPCERT Coordination Center
 
PDF
Javaセキュアコーディングセミナー東京第4回演習の解説
JPCERT Coordination Center
 
PDF
Javaセキュアコーディングセミナー東京第4回講義
JPCERT Coordination Center
 
PDF
Javaセキュアコーディングセミナー東京第3回演習
JPCERT Coordination Center
 
いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~
JPCERT Coordination Center
 
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
JPCERT Coordination Center
 
DLL読み込みの問題を読み解く
JPCERT Coordination Center
 
WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』
JPCERT Coordination Center
 
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
JPCERT Coordination Center
 
ソフトウェアセキュリティ保証成熟度モデル
JPCERT Coordination Center
 
Android Secure Coding
JPCERT Coordination Center
 
Apache Sling におけるサービス運用妨害(無限ループ)の脆弱性
JPCERT Coordination Center
 
Javaセキュアコーディングセミナー東京第2回演習の解説
JPCERT Coordination Center
 
Javaセキュアコーディングセミナー東京第4回演習の解説
JPCERT Coordination Center
 
Javaセキュアコーディングセミナー東京第4回講義
JPCERT Coordination Center
 
Javaセキュアコーディングセミナー東京第3回演習
JPCERT Coordination Center
 

Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性

  • 1. Copyright©2013 JPCERT/CC All rights reserved. 「Javaアプリケーション脆弱性事例調査資料」について この資料は、Javaプログラマである皆様に、脆弱性を身 近な問題として感じてもらい、セキュアコーディングの 重要性を認識していただくことを目指して作成していま す。 「Javaセキュアコーディングスタンダード CERT/Oracle版」と合わせて、セキュアコーディングに 関する理解を深めるためにご利用ください。 JPCERTコーディネーションセンター セキュアコーディングプロジェクト [email protected] 1 Japan Computer Emergency Response Team Coordination Center 電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=JP, st=Tokyo, l=Chiyoda-ku, [email protected], o=Japan Computer Emergency Response Team Coordination Center, cn=Japan Computer Emergency Response Team Coordination Center 日付 : 2013.09.30 16:18:56 +09'00'
  • 3. Copyright©2013 JPCERT/CC All rights reserved. Apache Tomcatとは Java Servlet や JavaServer Pages (JSP) を実行するため のサーブレットコンテナ(サーブレットエンジン) CSRF対策のために、トークンを使ったリクエスト フォームの検証機能が実装されている 3
  • 4. Copyright©2013 JPCERT/CC All rights reserved. 脆弱性の概要 Apache Tomcatには、クロスサイトリクエストフォー ジェリ対策をバイパスできる脆弱性が存在する 脆弱性を悪用されることで、被害者が意図しない操作を 実行させられる可能性がある Apache Tomcat上で展開されるWebアプリケーションの 機能を不正に実行させることが可能となる 4 バイパス!! 被害者 攻撃成功!!
  • 5. Copyright©2013 JPCERT/CC All rights reserved. 通常の処理フロー 5 サイト停止機能を実行する際のApache Tomcatの処理フロー ① Tomcat Managerにクライアント(サイト管理者)がBasic認証でログイン する。 ② 管理者画面にアクセス時に、アプリケーションはトークンを発行しForm 要素に埋め込む。さらにセッション変数にトークンを格納する ③ クライアントがサイト停止機能を実行しリクエストが送信される。 ④ アプリケーションは送信されてきたトークンとセッション変数に格納さ れているトークンが同一かを検証する ⑤ アプリケーションがリクエストを受信し、処理を実行する。 ⑥ 結果を含むレスポンスがクライアント(サイト管理者)へ送信される。 Tomcat Webアプリケーションマネージャのサイト停止機能における処理フ ローを解説する。
  • 6. Copyright©2013 JPCERT/CC All rights reserved. サイト停止機能実行時 6 アプリケーションはリクエストを受信後、CSRFトークンを検証を実施し、正規 のトークンが送信されてきたときのみに機能を実行する。 GET /manager/html/stop?path=/&org.apache.catalina.filters.CSRF_NONCE=1A740989DB7347FB6FE1FF02EC6A2C59 HTTP/1.1 : Host: www.example.com Cookie: JSESSIONID=F11C4A2BDEE2759214A79D46F69B283E Authorization: Basic Og== HTTPリクエスト サイトの停止 CSRFトークンは付与され、検証もされている。 トークン セッション オブジェク ト 検証!! トークン
  • 7. Copyright©2013 JPCERT/CC All rights reserved. doFilterメソッドによるトークンの検証 7 トークンの検証はCsrfPreventionFilterクラスの doFilter メソッドで 実行される。 public class CsrfPreventionFilter… public void doFilter(… CsrfPreventionFilter .java HTTPリクエスト トークンの検証処理
  • 8. Copyright©2013 JPCERT/CC All rights reserved. doFilterメソッドによるトークンの検証: セッションからトークンの取得 8 public class CsrfPreventionFilter extends FilterBase { : public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException { : HttpServletRequest req = (HttpServletRequest) request; : @SuppressWarnings("unchecked") LruCache<String> nonceCache = (LruCache<String>) req.getSession(true).getAttribute( Constants.CSRF_NONCE_SESSION_ATTR_NAME); if (!skipNonceCheck) { String previousNonce = req.getParameter(Constants.CSRF_NONCE_REQUEST_PARAM); ...(B) if (nonceCache != null &&!nonceCache.contains(previousNonce)) { ...(C) res.sendError(HttpServletResponse.SC_FORBIDDEN); //エラー処理 return; } } リクエストのセッションからセッ ション変数を取得し、変数 nonceCacheに格納する。 文字列 "org.apache.catalina.filters.CSRF_NONCE" セッション オブジェクト nonceCache トークントークン CsrfPreventionFilter.java
  • 9. Copyright©2013 JPCERT/CC All rights reserved. doFilterメソッドによるトークンの検証: リクエストからトークンの取得 9 public class CsrfPreventionFilter extends FilterBase { : public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException { : HttpServletRequest req = (HttpServletRequest) request; : @SuppressWarnings("unchecked") LruCache<String> nonceCache = (LruCache<String>) req.getSession(true).getAttribute( Constants.CSRF_NONCE_SESSION_ATTR_NAME); if (!skipNonceCheck) { String previousNonce = req.getParameter(Constants.CSRF_NONCE_REQUEST_PARAM); if (nonceCache != null &&!nonceCache.contains(previousNonce)) { res.sendError(HttpServletResponse.SC_FORBIDDEN); //エラー処理 return; } } CsrfPreventionFilter.java リクエストのパラメータから変数を取得し、 変数previousNonceに格納する。 文字列 "org.apache.catalina.filters.CSRF_NONCE" GET /manager/html/stop?path=/&org.apache.catalina.filters.CSR F_NONCE=1A740989DB7347FB6FE1FF02EC6A2C59 HTTP/1.1 : Host: www.example.com Cookie: JSESSIONID=F11C4A2BDEE2759214A79D46F69B283E Authorization: Basic Og== HTTPリクエスト previousNonce トークン
  • 10. Copyright©2013 JPCERT/CC All rights reserved. doFilterメソッドによるトークンの取得: トークンの比較 10 public class CsrfPreventionFilter extends FilterBase { : public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException { : HttpServletRequest req = (HttpServletRequest) request; : @SuppressWarnings("unchecked") LruCache<String> nonceCache = (LruCache<String>) req.getSession(true).getAttribute( Constants.CSRF_NONCE_SESSION_ATTR_NAME); if (!skipNonceCheck) { String previousNonce = req.getParameter(Constants.CSRF_NONCE_REQUEST_PARAM); if (nonceCache != null &&!nonceCache.contains(previousNonce)) { res.sendError(HttpServletResponse.SC_FORBIDDEN); //エラー処理 return; } ://正常処理 } トークンの検証処理を実行する。 下記の2つの条件が両方とも成り立つ場合は エラーとして処理される。 ① 変数nonceCacheの値に変数 previousNonceが含まれていない。 ② 変数nonceCacheがnullでない。 previousNonc e トークン nonceCache トークン 条件①:nonceCacheにpreviousNonce の値が含まれているか? nonceCache トークン 条件②:nonceCacheはnullでないか? Is not null ? 条件①、②がともに成立しないときに正常処理となる。 CsrfPreventionFilter.java
  • 11. Copyright©2013 JPCERT/CC All rights reserved. 攻撃コード (正常なリクエストとの比較) 11 ■攻撃コードのポイント リクエストに含まれるトークン (GETパラメータの ord.apache.catalina.filters.CSRF_NONCE) とセッション(Cookieヘッダ)が削除さ れている GET /manager/html/stop?path=/&org.apache.catalina.filters.CSRF_NONCE=1A74098 9DB7347FB6FE1FF02EC6A2C59 HTTP/1.1 Host: www.example.com : Cookie: JSESSIONID=F11C4A2BDEE2759214A79D46F69B283E Authorization: Basic Og== 通常のリクエスト トークン セッション GET /manager/html/stop?path=/ HTTP/1.1 Host: www.example.com : Authorization: Basic Og== 攻撃コード ついていない
  • 12. Copyright©2013 JPCERT/CC All rights reserved. サイト停止機能を実行する際のApache Tomcatの処理フロー ① Tomcat Managerにクライアント(サイト管理者)がBasic認証でログイン する。 ② 管理者画面にアクセス時に、アプリケーションはトークンを発行しForm 要素に埋め込む。さらにセッション変数にトークンを格納する ③ クライアントがサイト停止機能を実行しリクエストが送信される。 ④ アプリケーションは送信されてきたトークンとセッション変数に格納さ れているトークンが同一かを検証する ⑤ アプリケーションがリクエストを受信し、処理を実行する。 ⑥ 結果を含むレスポンスがクライアント(サイト管理者)へ送信される。 攻撃コード実行時の処理フロー 12 ④の検証処理が不十分だった!!
  • 13. Copyright©2013 JPCERT/CC All rights reserved. ④ 送信されてきたトークンとセッション変数のトークンの検証 13 public class CsrfPreventionFilter extends FilterBase { : public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException { : HttpServletRequest req = (HttpServletRequest) request; : @SuppressWarnings("unchecked") LruCache<String> nonceCache = (LruCache<String>) req.getSession(true).getAttribute( Constants.CSRF_NONCE_SESSION_ATTR_NAME); if (!skipNonceCheck) { String previousNonce = req.getParameter(Constants.CSRF_NONCE_REQUEST_PARAM); ...(B) if (nonceCache != null &&!nonceCache.contains(previousNonce)) { ...(C) res.sendError(HttpServletResponse.SC_FORBIDDEN); //エラー処理 return; } } リクエストのセッションからセッ ション変数を取得し、変数 nonceCacheに格納する。 文字列 "org.apache.catalina.filters.CSRF_NONCE" トークン セッション オブジェクト nonceCache トークン nonceCache null CsrfPreventionFilter.java 攻撃コードではセッ ションが削除されて おり、セッションオ ブジェクトが存在し ないため、nullが格 納される。
  • 14. Copyright©2013 JPCERT/CC All rights reserved. ④ 送信されてきたトークンとセッション変数のトークンの検証 14 public class CsrfPreventionFilter extends FilterBase { : public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException { : HttpServletRequest req = (HttpServletRequest) request; : @SuppressWarnings("unchecked") LruCache<String> nonceCache = (LruCache<String>) req.getSession(true).getAttribute( Constants.CSRF_NONCE_SESSION_ATTR_NAME); if (!skipNonceCheck) { String previousNonce = req.getParameter(Constants.CSRF_NONCE_REQUEST_PARAM); if (nonceCache != null &&!nonceCache.contains(previousNonce)) { ...(C) res.sendError(HttpServletResponse.SC_FORBIDDEN); //エラー処理 return; } } リクエストのパラメータから変数を取 得し、変数previousNonceに格納する。 文字列 "org.apache.catalina.filters.CSRF_NONCE" GET /manager/html/stop?path=/ HTTP/1.1 Host: www.example.com : Authorization: Basic Og== HTTPリクエスト previousNonce null CsrfPreventionFilter.java 攻撃コードにはトーク ンが含まれていないの でnullが格納される。
  • 15. Copyright©2013 JPCERT/CC All rights reserved. ④ 送信されてきたトークンとセッション変数のトークンの検証 15 public class CsrfPreventionFilter extends FilterBase { : public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException { : HttpServletRequest req = (HttpServletRequest) request; : @SuppressWarnings("unchecked") LruCache<String> nonceCache = (LruCache<String>) req.getSession(true).getAttribute( Constants.CSRF_NONCE_SESSION_ATTR_NAME); if (!skipNonceCheck) { String previousNonce = req.getParameter(Constants.CSRF_NONCE_REQUEST_PARAM); if (nonceCache != null &&!nonceCache.contains(previousNonce)) { res.sendError(HttpServletResponse.SC_FORBIDDEN); //エラー処理 return; } ://正常処理 } トークンの検証処理を実行する。 下記の2つの条件が両方とも成り立つ場合は エラーとして処理される。 ① 変数nonceCacheの値に変数 previousNonceが含まれていない。 ② 変数nonceCacheがnullでない。 CsrfPreventionFilter.java
  • 16. Copyright©2013 JPCERT/CC All rights reserved. ④ 送信されてきたトークンとセッション変数のトークンの検証 16 public class CsrfPreventionFilter extends FilterBase { : public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException { : HttpServletRequest req = (HttpServletRequest) request; : @SuppressWarnings("unchecked") LruCache<String> nonceCache = (LruCache<String>) req.getSession(true).getAttribute( Constants.CSRF_NONCE_SESSION_ATTR_NAME); if (!skipNonceCheck) { String previousNonce = req.getParameter(Constants.CSRF_NONCE_REQUEST_PARAM); if (nonceCache != null &&!nonceCache.contains(previousNonce)) { res.sendError(HttpServletResponse.SC_FORBIDDEN); //エラー処理 return; } ://正常処理 } トークンの検証処理を実行する。 下記の2つの条件が両方とも成り立つ場合は エラーとして処理される。 ① 変数nonceCacheの値に変数 previousNonceが含まれていない。 ② 変数nonceCacheがnullでない。 CsrfPreventionFilter.java ①は正常なトークンの検証処理のため問題ないが、問題は② の条件。 「変数nonceCacheがnull」=「セッションがそのものが存在 しない」 であり、セッション自体を削除する(Cookieヘッダを削除す る)ことで変数nonceCacheがnullとなり、このトークンの検 証処理をバイパスすることができる!!
  • 17. Copyright©2013 JPCERT/CC All rights reserved. セッションを削除したリクエストの処理 17 通常、セッションを削除(Cookieヘッダを削除)してしまうと、Webアプリケー ションはユーザーを認識できなくなり、認証エラーが発生する。 セッション(Cookie)なしの HTTPリクエスト しかし、Apache TomcatのTomcat WebアプリケーションマネージャはBasic 認証を使用しており、認証にセッション(Cookieヘッダ)を使用していない。 CSRF対策であるトークン検証処理にてセッション(Cookieヘッダ)が無い場合を 想定していなかったため、認証エラーが発生せず機能が実行されてしまう!! セッション(Cookie)なしの HTTPリクエスト ※Basic認証ではAuthorizationヘッダを使用する 通常の Webサイト 一般のWebアプリ
  • 18. Copyright©2013 JPCERT/CC All rights reserved.18 今回のアプリケーションにおける具体的な問題点 セッションが存在しないケース(Cookie以外によるセッ ション管理)を想定していなかった。 セッションが存在しない場合は、CSRF対策をパスしてし まっていた。 問題点に対してどうすべきだったか。 アプリケーションの仕様(今回の場合はセッションの管理 方式)を確認し、適切なCSRF対策を選択する必要があっ た。
  • 19. Copyright©2013 JPCERT/CC All rights reserved. サイト停止機能を実行する際のApache Tomcatの処理フロー ① Tomcat Managerにクライアント(サイト管理者)がBasic認証でログイ ンする。 ② 管理者画面にアクセス時に、アプリケーションはトークンを発行しForm 要素に埋め込む。さらにセッション変数にトークンを格納する ③ クライアントがサイト停止機能を実行しリクエストが送信される。 ④ アプリケーションは送信されてきたトークンとセッション変数に格納さ れているトークンが同一かを検証する ⑤ アプリケーションがリクエストを受信し、処理を実行する。 ⑥ 結果を含むレスポンスがクライアント(サイト管理者)へ送信される。 修正版コード 19 ④の処理におけるコードが修正されている 脆弱性はバージョン7.0.32、6.0.36にて修正が適用されている
  • 20. Copyright©2013 JPCERT/CC All rights reserved. 修正版コード 20 public class CsrfPreventionFilter extends FilterBase { : public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException {: HttpServletRequest req = (HttpServletRequest) request;: HttpSession session = req.getSession(false); @SuppressWarnings("unchecked") LruCache<String> nonceCache = (session == null) ? null : (LruCache<String>) session.getAttribute( Constants.CSRF_NONCE_SESSION_ATTR_NAME); if (!skipNonceCheck) { String previousNonce = req.getParameter(Constants.CSRF_NONCE_REQUEST_PARAM); if (nonceCache == null || previousNonce == null || !nonceCache.contains(previousNonce)) { res.sendError(denyStatus); return; } } ://正常処理 } セッションがnullである 場合、またはリクエス トにトークンが含まれ ていない場合はエラー として処理する CsrfPreventionFilter.java
  • 21. Copyright©2013 JPCERT/CC All rights reserved. 参考文献 ■ OWASP CSRFGuard Project https://www.owasp.org/index.php/Category:OWASP_CSRFGuard_Project ■ IPA ISEC セキュア・プログラミング講座: Webアプリケーション編 第4章 セッション対策:リクエスト強要(CSRF)対策 https://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/301.html ■安全なウェブサイトの作り方、IPA https://www.ipa.go.jp/security/vuln/websecurity.html 21
  • 22. Copyright©2013 JPCERT/CC All rights reserved. 著作権・引用や二次利用について 本資料の著作権はJPCERT/CCに帰属します。 本資料あるいはその一部を引用・転載・再配布する際は、引用元名、資料名および URL の明示を お願いします。 記載例 引用元:一般社団法人JPCERTコーディネーションセンター Java アプリケーション脆弱性事例解説資料 Apache Tomcat における CSRF 保護メカニズム回避の脆弱性 https://www.jpcert.or.jp/securecoding/2012/No.09_Apache_Tomcat.pdf 本資料を引用・転載・再配布をする際は、引用先文書、時期、内容等の情報を、JPCERT コーディ ネーションセンター広報([email protected])までメールにてお知らせください。なお、この連絡 により取得した個人情報は、別途定めるJPCERT コーディネーションセンターの「プライバシーポ リシー」に則って取り扱います。 本資料の利用方法等に関するお問い合わせ JPCERTコーディネーションセンター 広報担当 E-mail:[email protected] 本資料の技術的な内容に関するお問い合わせ JPCERTコーディネーションセンター セキュアコーディング担当 E-mail:[email protected] 22