- MT 2.x hxxks - MT 2.x をインストールしたら真っ先に行うべきセキュリティ対策
http://hxxk.jp/mt_2x/2004/09/13/2105.php - SG::Acme : attacking MT 1
http://www.nurs.or.jp/~b3/log/archives/2004/08_12_attacking_mt_1.html - SG::Acme : attacking MT 2
http://www.nurs.or.jp/~b3/log/archives/2004/08_12_attacking_mt_2.html
Movable Type 2.xxx 使いの方は上記サイトを熟読することをオススメします。というか、必ず読もう!!
何が問題なのか、どう対策すればよいのか、順を追って読んでいけば分かると思うのですが、私が理解できた範囲でのポイントを書いておきます。
管理CGI である"mt.cgi" のファイル名をデフォルトのままにしていた場合、全く別のサイトにあるリンクをクリックした瞬間、"mt.cgi" とそのあとに続くリクエスト文字列によって、自分のWeblog の全エントリを削除されてしまうなどの危険性がありえます。
対策の一つとして、"mt.cgi" のファイル名を外部からは推測されにくい名前に変更し、外部にファイル名が漏れないように細心の注意を払う必要があります。具体的には、サーチ結果から辿れる"[編集]" のタグを削除する、等です。
あとはリファラのチェックもかけるとよいそうです。なので早速コードを変更してみました。ブックマークレットでエントリの追記を行おうとした時に必ずIDとパスワードを再度入力する必要が出てきましたが、まあやむなし。
(2005/03/08 12:59 追記)
こういう手法って「Cross Site Request Forgeries」(CSRF) というそうな。覚えておこう。
- CSRF - クロスサイトリクエストフォージェリ - PHP
http://www.speciii.com/item/303.html&catid=53
(2005/04/28 16:52 追記)
mixi で起きた事件を元に、CSRF を高木先生が解説。
- 高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法
http://takagi-hiromitsu.jp/diary/20050427.html
(2005/07/08 16:56 追記)
- 高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)対策がいまいち進まなかったのはなぜか
http://takagi-hiromitsu.jp/diary/20050703.html
(2005/07/19 15:39 追記)
最初に取り上げたページがリニューアルに伴い、色々追記されていたのでリンク。
- hxxk.jp - Movable Type における CSRF の可能性と各種対処法
http://hxxk.jp/2005/05/13/2105