白倉大河

学生時代からセキュリティを研究し、現在は三井物産セキュアディレクションでWebアプリケーション診断、ペネトレーションテストに従事。脆弱性調査が趣味で、HTTPヘッダやURLなどの仕様と実装の差異の調査などを通じ、Webフレームワークなどで複数のCVEを取得。

Webフレームワークが見落としたSimple Requestの盲点 - モダンなCSRF対策に潜む4つの罠

モダンなCSRF対策として注目されるOriginヘッダ検証とSimple Requestチェック。しかし、これを実装した多くのWebフレームワークに、ブラウザの細かな仕様を誤認した検証不備が存在しました。CORSの文脈におけるSimple Requestの説明と実際の仕様の間には、MDNや書籍を読んでいるだけでは陥ってしまう「Simple Requestの盲点」が存在するのです。

本講演では、Content-Type検証という一見シンプルな処理に潜んだ落とし穴に注目し、私が発見した複数の著名Webフレームワークに存在した脆弱性について、実際にブラウザから送信されるリクエストの内容を交えてデモを行います。

Content-Type検証の不備を4つのパターンにまとめ、フレームワーク開発者も見落とすモダンCSRF対策の盲点と、正しい実装方法を解説します。