• Twitterでシェア
  • Facebookでシェア

超絶技巧CSRF / Shibuya.XSS techtalk #7

テクノロジー カテゴリーの変更を依頼 記事元:speakerdeck.com/mala
適切な情報に変更
545users がブックマーク コメント 33

    記事へのコメント33

    • 注目コメント
    • 新着コメント
    k-holy
    フォームからmemcached→デシリアライズなんて方法があるのね。レスポンスが必要な認証は突破できない=ダイジェスト認証もCSRF対策になるということか。

    その他
    oscdis765
    POSTでデーモンぶん殴るのは目ウロコだわ

    その他
    mano-junki
    memcachedにアクセスワロタw

    その他
    deep_one
    さすがに「レスポンス」を捕まえて処理するほどの「超絶技巧」は存在していないらしい。

    その他
    py0n
    勉強になった。

    その他
    troter
    退職者向けバックドア、、

    その他
    labocho
    http でないプロトコルで csrf。盲点やった。

    その他
    l-_-ll
    memcached

    その他
    yoshikidz
    んんん、11211ポート空いてるってこと?そら攻撃できるよね。もし、内部トラフィックとして処理できるならえらいこっちゃ。

    その他
    quabbin
    xhr…なるほど…

    その他
    sshingo
    タイトルステキ

    その他
    yuzuk45
    mala

    その他
    rokujyouhitoma
    なるほどmemcached

    その他
    labduck
    ひょえー

    その他
    khtokage
    凄いなこれ。memcachedかぁ。

    その他
    YaSuYuKi
    「CSRF転生 - チートxhrでmemcachedも攻撃できます!」か。怖すぎる

    その他
    oscdis765
    oscdis765 POSTでデーモンぶん殴るのは目ウロコだわ

    2016/03/29 リンク

    その他
    mumincacao
    やっぱり軽いえらーを無視したりする実装はあとあと落とし穴が大きくなることあるんだなぁ・・・ っていうか xhr.send(blob) さんが思ってた以上に諸刃の剣っぽいのです(ーω【みかん

    その他
    Horiuchi_H
    CSRFでbinaryデータを送りつけるとか可能なのか。Webサーバ以外は外部へportを開けておかないように気を付けないとな。

    その他
    key_amb
    読んだ。そういうことですか。

    その他
    progrhyme
    読んだ。そういうことですか。

    その他
    stealthinu
    これすごい。memcachedにデシリアライズしたデータを直接放り込むとか、結構な率でヤバイのあるのでは…?

    その他
    master-0717
    どうアクションを踏ませるかの超絶技巧かと思いきや

    その他
    jojo800
    超絶…

    その他
    ryosukeyamazaki
    ひょえー

    その他
    nilab
    「CSRF, HTML Form Protocol Attack, Cross-protocol scripting attackについて」

    その他
    longroof
    うわぁヽ(=´▽`=)ノ…

    その他
    k-holy
    k-holy フォームからmemcached→デシリアライズなんて方法があるのね。レスポンスが必要な認証は突破できない=ダイジェスト認証もCSRF対策になるということか。

    2016/03/29 リンク

    その他
    side_tana
    オモシロだ

    その他
    raimon49
    ヒエッ

    その他
    Rinta
    ためになるmalaさんのスライド。

    その他
    digitalglm
    超絶技巧CSRF / Shibuya.XSS techtalk #7 // Speaker Deck: CSRF, HTML Form Protocol Attack, Cross-protocol scripting…

    その他
    napsucks
    この人だっけ、アンビシャスなんちゃらさんとセックスしたとかしないとかっての?

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    超絶技巧CSRF / Shibuya.XSS techtalk #7

    CSRF, HTML Form Protocol Attack, Cross-protocol scripting attackについて

    ブックマークしたユーザー

    • tocguitar12025/01/12 tocguitar1
    • techtech05212023/12/19 techtech0521
    • sakef2018/10/06 sakef
    • sharaku3eyes2018/03/29 sharaku3eyes
    • shinlinsui2017/07/27 shinlinsui
    • issyurn2017/07/06 issyurn
    • t2wave2017/07/03 t2wave
    • mtcdotcom2017/06/25 mtcdotcom
    • kiichi692512017/03/29 kiichi69251
    • mrtc02017/02/10 mrtc0
    • axljpn2016/10/03 axljpn
    • k4zzk2016/10/03 k4zzk
    • sotarok2016/09/09 sotarok
    • bromideknobby2016/07/16 bromideknobby
    • cuttoff192016/05/21 cuttoff19
    • yuuki55552016/05/02 yuuki5555
    • hamaco2016/04/26 hamaco
    • oldriver2016/04/25 oldriver
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    いま人気の記事 - 企業メディア

    企業メディアをもっと読む

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2025 Hatena. All Rights Reserved.