この広告は、90日以上更新していないブログに表示しています。

2014-03-30

コメント返信(CSRF)

日記 #練習用

コメント欄が盛況で、当方にもご質問いただいている点があるので出来る限り返信させていただこうと思う。

本日はrec*lde**des*さんからのCSRFの件。

>http://fragt.freezoy.com/?key=y01をアクセスすると、test (index.htm)という表示がでますが、このfragt.freezoy.comは生きていると考えてよいのでしょうか？

→「404エラー」が出ないということは、Webページは存在すると推定。

     さらに、「test (index.htm)」をクリックすると、当方のブラウザでは”ringtone”というサイトに飛ぶという警告が出るので、クリックしない方が良いでしょう。

なお、”http://fragt.freezoy.com/?key=y01”はドメインになっていて、犯人が取得したものと想定される。

「fragt」の部分が自由に選べると思われるが、「fragt」はドイツ語で「質問する」という意味らしい。（意図は不明）

なお、先日記事でもご紹介したように横浜CSRFでは、警察報告書で3つのURLが出て来ている。

-------------------------

・甲さんのパソコンのインターネットアクセスログを確認したところ、海外サーバ上のサイトである、「http://○○○」というサイトへの接続履歴があることを発見し、さらに同サイトから、「http://△△△」という海外サイトへ転送されることが判明した。

・「http://△△△」が横浜市のホームージのリンク元であった。

・甲さんが指差したＵＲＬは、「http://□□□」、「http://○○○」、「http://△△△」であった。

-------------------------

これら記述を元に各URLの当方推定は現段階で以下のようになっている。

　(1)「http://□□□」…2ch”OCN規制被害者の会　2006年目”スレッドURL

　(2)「http://○○○」（海外サーバー上のサイト）…http://fragt.freezoy.com/?key=y01

　(3)「http://△△△」（海外サイト）…(2)から更に転送されるサイト（URL不明）

上記報告書の記述は、＜海外サーバ上のサイトである、「http://○○○」というサイト＞となっているので、「http://○○○」は”freezoy.com”上の”fragt.freezoy.com”というドメインURLのことを指していると考えた。

弁護側は横浜CSRFを早めに取り上げるようなので、その際に3つのURLの詳細が明らかになるかもしれない。

>また、CSRFがPHPプログラムであるということは、ラストメッセージ以外に詳細な情報はありますでしょうか？知っていたら教えて下さい。

→PHPであるという情報はラストメッセージ以外では見当たらず、犯行声明メールに以下の記述あり。

   ”この件は話題のトロイではなく、単なるJavascriptのクロスサイトリクエストフォージェリを仕掛けただけです。”

これはラストメッセージの以下の記述に相当すると推察。

--------------------

　(PHP）

　　サーバ側のPHPで制御することで、最初に踏んだ一人にのみ有害CSRFが発動し、2人目以降は無害なリダイレクトが発生するだけという仕組みになっていました。 

　(Javascript）

　　A「直接踏ませるスクリプト。BをJSONPでクロスドメイン読み込みして実行する」 = 上記(2)？

　　B「CSRFを行う有害スクリプト。Aとは別サイトに設置。」  = 上記(3)？

--------------------

なお、これ以外にもラストメッセージでは色々な工夫を詳細に説明しているにも関わらず、犯行声明メールの”単なる”Javascriptのクロスサイトリクエストフォージェリ」という表現は謙遜なのだろうか。

犯行声明メールから時間をおいてラストメッセージが作成されたとすると、その間に自己顕示欲が出て工夫点を明らかにしたということなのか。

以上