0gajun
commented
6 years ago Closed 0gajun closed 6 years ago
0gajun
commented
6 years ago 0gajun
commented
6 years ago 0gajun
commented
6 years ago POSTのところで Origin ヘッダと Referrer をチェックすれば大丈夫になるのか?
0gajun
commented
6 years ago トークン適切に発行してうんぬんみたいなところは、あと一週間で適切にやるのしんどい気がしている
(俺があんまフロントいじりたくないという話もある
0gajun
commented
6 years ago 本番環境でログインした状態で、 http://localhost:3000/404.html で下のスクリプト実行したら見事accept出来てしまった 👿
<script>
var xhr = new XMLHttpRequest();
xhr.withCredentials = true;
xhr.open('POST', 'http://app-squirrel-2041065676.ap-northeast-1.elb.amazonaws.com/api/remit_requests/1/accept')
xhr.send()
</script>上の記事でOrigin チェックして対処する話があって、でも攻撃者がセットしてきたらやばいな? 🤔
と思っていたら、Originはユーザーエージェントしかセットできないらしいのでヨサソウ 🙆
0gajun
commented
6 years ago OWASPの 👇 に従ってorigin checkすれば良い気がする。
ActipnController::Apiはcsrfトークンの検証とかは無いので、CSRF対策をどうにかする必要がアリそう