Webセキュリティの小部屋

ホーム > Webアプリケーションセキュリティ > CSRF の安全なトークンの作成方法

公開日：2013年3月5日
最終更新日：2013年7月21日

CSRF の安全なトークンの作成方法

CSRF のトークンは一般的にはセッション ID を利用することが多いですが、より安全に対応するためにトークンを自分で作成することがあります。

これは、Cookie に保存されているセッション ID だと、クロスサイト・スクリプティングの脆弱性やブラウザの不具合などによりセッション ID が漏洩する可能性があるためです。また、会社のポリシーで独自トークンの利用が義務付けられていたり、ワンタイム・トークンを利用する場合にも自分でトークンを作成する必要があります。

CSRF の安全なトークンの作成条件は以下の通りです。

暗号論的擬似乱数生成器による乱数でトークンを作成する
トークンの長さは32桁

■暗号論的擬似乱数生成器による乱数でトークンを作成する

CSRF のトークンを作成するためには、暗号論的擬似乱数生成器を使用して乱数を生成する必要があります。これを利用しないとセキュリティ上安全な乱数を生成できないからです。

Java, .NET, PHP では以下のものを使用することができます。

Java: java.security.SecureRandom
.NET: System. Security. Cryptography. RNGCryptoServiceProvider
PHP: openssl_random_pseudo_bytes (>=PHP5.3.0)

暗号論的擬似乱数生成器がない言語では、セッション ID をトークンに利用することが無難です。

■トークンの長さは32桁

CSRF のトークンの強度は、セッション ID と同程度でよいので、20桁以上あればよいと思いますが、いくつかの実装のセッション ID の桁数を見てみましょう。

Tomcat: 32桁
ASP.NET: 24桁
PHP: 26桁

この状況から、トークンが32桁あれば十分な強度であると言えます。

スポンサーリンク

« クロスサイト・リクエストフォージェリ(CSRF)と対策

CSRF の安全なトークンの作成方法(Java編) »

カテゴリー:Webアプリケーションセキュリティ

Twitter でも、いろんな情報を発信しています。
@fnyaさんをフォロー

コメントを残すコメントをキャンセル

プロフィール

名前：fnya
SE としての経験は１５年以上。業務システムの経験が多いですが、セキュリティにも携わっていました。現在は、趣味でセキュリティを追っかけています。情報セキュリティスペシャリスト。

現在、Enty で支援を受け付けています。もしよければご支援ください。

Follow @fnya

最近の記事

ラックが無償で提供するPCのセキュリティ状況を診断する「自診くん」を試してみた

[ランサムウェア対策]ネットワークドライブは net use コマンドで使用時のみ接続しよう

SiteGuard Lite(WAF)のレポートを見るとびっくりするほど攻撃を受けている件

SiteGuard Lite で「java.io.IOException: Stream closed」エラーでレポートが出力されなくなった場合の解消方法

Content Security Policy(CSP)をサイトに適用しました(Analytics,Adsenseも動くよ）

カテゴリ

おすすめ書籍

体系的に学ぶ安全なWebアプリケーションの作り方
言わずと知れたWebアプリケーションセキュリティの定番教科書。「徳丸本」として親しまれています。

徳丸浩のWebセキュリティ教室
「徳丸本」の後に出版され、「徳丸本」がカバーしていない内容を扱っています。最新動向も押さえられています。
レビュー記事

基本がわかる安全設計のWebシステム
コードの記載なしでWebアプリケーションセキュリティの基本を、正しく解説している良書です。PM、SE、初心者に向いています。
レビュー記事