Skip to content

クロスサイトリクエストフォージェリ

Jump to bottom
ken1flan edited this page Jun 26, 2017 · 3 revisions

Railsセキュリティガイド クロスサイトリクエストフォージェリ(CSRF)

必要なもの

  • サンプル・アプリケーション
  • 被害者の役割のためのブラウザ

手順

  • ブラウザでサンプルアプリケーションにユーザ登録後、ログインする。
  • ブラウザでoutside/csrf/index.htmlを開く。
  • ブラウザでブログ一覧を見る。
  • 自分のユーザで登録していないブログが投稿されていることを確認する。

サンプルアプリケーションの脆弱性

ログインしているユーザはGETリクエストでブログを投稿できるようになっている。 https://github.com/ken1flan/security_sample/blob/master/config/routes.rb#L7

直し方

  • GETリクエストでブログを投稿できることが本当に必要なのか再確認し、不要ならやめる。
Clone this wiki locally