今さら聞けないセキュリティ　2022年04月04日

セキュアなトークンの保持方法について

# トークンの保持方法について

セキュアなトークンの保持方法について、検証と調査を行なって、実際に実装してみました。

## トークンを保持する際に考えなければならない脆弱性について

### XSS(クロスサイトスクリプティング)

– ユーザー（被害者）の Web ブラウザで任意の JavaScript を実行させることを許す脆弱性または攻撃手法

1. 攻撃者が脆弱性のある Web アプリケーションを見つける。
2. 不正なスクリプトを含んだ罠を用意する。
3. 罠に誘導するための URL をユーザー（被害者）に SNS / メールなどで配る。
4. 罠にかかったユーザーが URL にアクセスし、脆弱性のある Web アプリケーションにアクセスする。
5. Web アプリケーションから不正なスクリプトを含んだ Web ページが返される。
6. ユーザーの Web ブラウザで不正なスクリプトが実行される

### CSRF(クロスサイトリクエストフォージェリ)

– 悪意を持つ攻撃者が作成したページなどにアクセスすると、知らない間に情報が送信されてしまう攻撃手法

1. ユーザー

2022/4/4主にITとかセキュリティの記事

GoogleのCEOがやってる、スマホを使わない「月曜朝の習慣」(4/4)
https://www.google.com/amp/s/www.lifehacker.jp/amp/2204googles-ceo-sundar-pichai-has-a-remarkably-simple-monday-morning-rule-that-explains-why-hes-so-productive/

防衛省 契約企業により厳しいセキュリティー基準を義務づけ(4/1)
https://www3.nhk.or.jp/news/html/20220401/k10013562841000.html

ポルノサイト訪れた日本人を標的とした詐欺を確認、要注意(4/1)
https://news.mynavi.jp/techplus/article/20220401-2309311/

米Verizonのユーザー、自分の携帯電話番号からスパムSMSが届く(4/2)
https://www.zaikei.co.jp/article/20220402/666873.html

Google Playの「お

X-Frame-Options ヘッダー メモ

## X-Frame-Optionsとは

* HTTPのセキュリティ対策レスポンスヘッダーの一つ
* ブラウザーがページをフレームなどの中に表示することを許可するかどうかを示すために使用する
* Webサイト側はコンテンツが他サイトに埋め込まれないよう保証する

## 設定目的:クリックジャッキングの防止


* **クリックジャッキングによって発生しうる脅威**
* ログイン後のユーザーのみが利用可能なサービスの悪用
* 意図しない情報発信、意図しない退会処理 など
* ログイン後のユーザーのみが編集可能な設定の変更
* ユーザー情報の公開範囲の意図しない変更 など

## 設定値

* `DENY`
* ページをフレーム内に表示することを許可しない
* `SAMEORIGIN`
* ページ自体と同じオリジン

REST API（更新系）に対するCSRFにどう対処すべきか

# 結論

* 攻撃者サイトが用意したページにおける`

`での攻撃に対しては、カスタムヘッダ必須によるプリフライトチェックを入れると楽に対処できる。
* XSSに対しては、トークンチェックやカスタムヘッダ必須によるプリフライトチェックは通用しない。XSSに対して鉄壁の防御を構築するしかない。
* IEはWindows Updateしなければまだ使える（edgeの強制起動を回避できる）ので、IEの面倒を見続ける必要のあるサイトというのもあると思う。IEは[CSP](https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Content-Security-Policy)で`