September 14, 2004

mt.cgi への自ドメイン以外からの POST を拒否する

MT などをはじめとする Cookie ベースの Web アプリケーションで、ログイン状態のセッションを利用して、危険な操作へのリンクや XSS により意図しない操作をさせられてしまう可能性がある、という問題について(長い)。

基本的には Trackback が単純な POST でおくれてしまう 場合とほぼ同様に、Referer が自ドメイン以外の POST リクエストをけってしまえば OK かと。

RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{HTTP_REFERER} .+
RewriteCond %{HTTP_REFERER} !^http://blog\.bulknews\.net.*
RewriteRule /mt/mt.cgi - [F]

って GET でも削除とかできちゃうんか。これじゃだめだな。 JavaScript だとリファラきかない場合があるし。MT/App/CMS.pm でデータベースに書き込むようなメソッドは POST じゃないと実行しないように手をいれるとかでしょうかね。

Posted by miyagawa at September 14, 2004 07:42 PM | Permalink | Comments (0) | TrackBack(0)
Comments
Trackbacks
TrackBack URL for this entry: http://blog.bulknews.net/mt3/mt-tb.cgi/1257
Post a comment