[tDiary-users-talk: 0535] Re: CSRF

Back to archive index

TADA Tadashi t****@tdtds*****
2012年 9月 4日 (火) 22:45:24 JST


ただただしです。

このエラーは、CSRFをつかれたから出るのではなく、CSRFをガード
したから出るのです。

設定画面で日記のURLが正しいURLであればrefererが一致するのでこ
のエラーは出ません。今回、三輪さんの設定したものとは異なる値が
入っていたので、tDiaryはCSRFを感知して停止したのです。

ですので、ここで気にしなければいけないのは、なぜおかしなURLが
指定されていたのか、です。

もっともありえるのは、パスワードがクラックされて更新・設定ページ
が乗っ取られた可能性です。ログをみて、自分自身以外のIPアドレス
からupdate.rbへアクセスがなかったかどうか、さかのぼってみるべき
でしょう。

もうひとつの可能性は、tDiaryに未知の脆弱性があることですが、認
証はtDiaryの機能ではないので、考えにくいです(もちろんBasic認証は
御存知の通りパスワードを平文で流すので安全ではありません)。

いずれにせよ、パスワードはすぐに変更すべきです。

2012年9月4日 22:35 三輪晋( Miwa Susumu ) <miwar****@gmail*****>:
> [現象]
> 日記を更新しようとしたところ CSRF のエラーが発生しました。
> Expected base URI はたぶん意図していない URI ですよね。
>
> <<<
> 500 Internal Server Error
>
> Security Error: Possible Cross-site Request Forgery (CSRF)
>
>         Diagnostics:
>                 - Protection Method is 1
>                 - Mode is preview
>                     - GET is not allowed
>                 - Request Method is POST
>                 - Referer is another page
>                     - Given referer:
> http://www.area51.gr.jp/~rin/diary/update.rb
>                     - Expected base URI:
> http://www.communitywalk.com/map/1482956
>                     - Expected update URI:
> http://www.communitywalk.com/map/update.rb
>                 - CSRF key is nothing
>  (Exception)
>
> /home/rin/public_html/diary/tdiary.rb:373:in `csrf_check'
> /home/rin/public_html/diary/tdiary.rb:301:in `initialize'
> /home/rin/public_html/diary/tdiary.rb:388:in `initialize'
> /home/rin/public_html/diary/tdiary.rb:452:in `initialize'
> /home/rin/public_html/diary/tdiary/dispatcher/update_main.rb:70:in `new'
> /home/rin/public_html/diary/tdiary/dispatcher/update_main.rb:70:in
> `create_tdiary'
> /home/rin/public_html/diary/tdiary/dispatcher/update_main.rb:19:in `run'
> /home/rin/public_html/diary/tdiary/dispatcher/update_main.rb:6:in `run'
> /home/rin/public_html/diary/tdiary/dispatcher.rb:21:in `dispatch_cgi'
> /home/rin/public_html/diary/update.rb:36:in `<main>'
>>>>
>
>
> [状況]
> tdiary の「設定」を眺めたら以下のようになっていました。
> これは私が最後に設定した内容とは異なります。
>
> タイトル: XRrdzDlgbIAPNwIqs
> 著者名: buy cialis in maine
> メールアドレス: fowhg****@ohszm*****
> 日記のURL: http://www.communitywalk.com/map/1482956
> (以下略)

-- 
ただただし - ツッコミは、短く鋭く愛を込めて♪
http://tdtds.jp/
@tdtds




tDiary-users-talk メーリングリストの案内
Back to archive index