[B! WEB][CSRF] beth321のブックマーク

beth321 id:beth321

WEBとCSRFに関するbeth321のブックマーク (16)

超絶技巧CSRF / Shibuya.XSS techtalk #7
CSRF, HTML Form Protocol Attack, Cross-protocol scripting attackについて
beth321 2016/03/29
あとで読む

csrf

security

セキュリティ

xss

web

slide

HTML

server

7
リンク
第23回　まだまだ残っているCSRF攻撃：なぜPHPアプリにセキュリティホールが多いのか?｜gihyo.jp … 技術評論社
CSRF（Cross Site Request Forgeries）は数年前にその危険性が広く認知された攻撃手法です。Webページを見ただけで、普段自分が利用しているログインが必要なサイトに意図しないリクエストが送信されたりする問題です。 CSRFの動作原理 CSRFは攻撃用の情報を含んだWebページやEメールを利用して攻撃します。被害者が攻撃用のページを表示したり、URLをクリックすると、攻撃対象のWebサイトに利用者が意図していないリクエストを送信します。図1　CSRF攻撃 CSRFによる不正なリクエストは被害者からリクエストなので、ログインが必要なサイトであっても既にユーザがログイン済みの場合、正規のユーザからのリクエストとして攻撃対象のWebサーバはリクエストを受け付けてしまいます。ログインが必要ない公開サイトであっても、問い合わせフォームから大量の不正な情報が登録される、など
beth321 2015/03/09
セキュリティ

あとで読む

Web

security

あとで

php

CSRF

JSON

programming

development
リンク
ssig33.com - よく分からない人のためのセキュリティ
いろいろと原則論はあるんですが。昨今のアプリケーションは複雑化し、扱う情報はよりセンシティブになり、そしてより幅広く使われるようになっています。よって「安全な」アプリケーションを作るために必要な知識はますます増える傾向にあります。よく分かってない人は以下のことにとりあえず気をつけましょう 1. なるべく自分で作らないこれは最も重要なことです。検索する、他人に聞く、自分で考えない。これは重要です。大抵の問題は他人が作ってくれた解決策を適用できます。例えばセキュアな問合せフォームを作ることにしましょう。気をつけるべきことは以下のことぐらいでしょうか。送信内容の確認画面を表示する場合、ユーザーの入力した値は適切にエスケープするように送信内容をアプリケーションの DB に格納する場合には SQL インジェクションを防がなければならないので、プリペアドステートメントを用いる CSRF 対策
beth321 2015/02/06
ruby

DB

セキュリティ

application

CSRF

security

あとで読む

web

プログラミング

フレームワーク
リンク
WordPress、深刻な脆弱性を修正　XSS攻撃の恐れ
WordPress 4.0.1ではXSSの脆弱性などが修正された。悪用された場合、Webサイトをハッキングされたり、クロスサイトリクエストフォージェリ（CSRF）攻撃を仕掛けられたりする恐れがある。ブログ作成ソフトの更新版となる「WordPress 4.0.1」が11月20日に公開された。クロスサイトスクリプティング（XSS）などの深刻な脆弱性が修正されており、ユーザーに対して自分のWebサイトを直ちに更新するよう呼び掛けている。 WordPressのブログによると、WordPress 4.0.1では3件のXSSの脆弱性を含め、計8件の脆弱性を修正した。悪用された場合、Webサイトをハッキングされたり、クロスサイトリクエストフォージェリ（CSRF）攻撃を仕掛けられたりする恐れがある。脆弱性は3.9.2までのバージョンに存在する。更新版は、自動更新を有効にしていれば自動的に配信される。脆
beth321 2014/11/21
Web

mawdw

WordPress

セキュリティ

security

XSS

Web制作

CSRF

PHP

*wordpress
リンク
第2回　しーさーふって何ですか？ | gihyo.jp
※　src：画像の場所を指定する属性。相対パスではなくURLで書けば、他のドメインにある画像を表示することも可能。つまりURLに対してGETリクエストを行う（閲覧者に行わせる）お手軽な手段とも言え、これを用いてなんらかの攻撃が行われることもしばしば。まとめこのように、imgタグなどによって、閲覧者のブラウザからどこかのURLへ任意のリクエストを「送らせる」ことは簡単にできてしまいます。しかも、それで発生するリクエストは、閲覧者自身がリンクをクリックしたときとなんら変わりはありません。では、これを攻撃として用いられた場合（つまりCSRF⁠）⁠、Webプログラム側ではどのように防げばよいのでしょう。きっとまっさきに思いつくのは、「⁠POSTリクエストを使うようにする⁠」⁠、あるいは「リファラヘッダ（リンク元が記載されているヘッダ行）のチェックを行う」などでしょうか。しかしそれだけでは不
beth321 2014/10/29
37たん

security

はまちちゃん

column

セキュリティ

web

csrf

URL

character

article
リンク
第3回　JSONPでのクロスドメインアクセス | gihyo.jp
JSONPの動作原理前回はAjaxに存在するセキュリティモデルであるSame-Originポリシーを紹介し、そのSame-Originポリシーを迂回する方法とセキュリティについて見てきました。また、回避する方法の1つめとしてリバースProxyを用いた方法を紹介しました。リバースProxyを用いた方法ではセキュリティ的な問題点もありましたが、そもそもProxyサーバを用意しなければならないため、この方法は手軽に使うことはできませんでした。そこで考え出されたのがJSONP（JavaScript Object Notation with Padding）という方法です。それではまず簡単にJSONPについて説明します。 Ajaxで使われるXMLHttpRequestオブジェクトには前回説明したとおりSame-Originポリシーがありクロスドメインアクセスはできません。一方、SCRIPTタグ
beth321 2014/10/01
jsonp

CSRF

JavaScript

Ajax

Security

json

セキュリティ

クロスドメイン

Web

tips
リンク
［はまちちゃんのセキュリティ講座］ここがキミの脆弱なところ…！記事一覧 | gihyo.jp
運営元のロゴ Copyright © 2007-2024 All Rights Reserved by Gijutsu-Hyoron Co., Ltd. ページ内容の全部あるいは一部を無断で利用することを禁止します⁠。個別にライセンスが設定されている記事等はそのライセンスに従います。
beth321 2014/09/15
xss

internet

セキュリティ

Security

はまちちゃん

Web

読み物

あとで読む

CSRF

comic
リンク
CSRF対策用トークンの値にセッションIDそのものを使ってもいい時代なんて、そもそも無かった
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
beth321 2014/02/19
Webプログラミング

security

CSRF

セキュリティ

session

cookie

token

xss

HTML

web
リンク
CSRF 対策用トークンの値にセッション ID そのものを使ってもいい時代は終わりつつある - co3k.org
CSRF 脆弱性対策には攻撃者の知り得ない秘密情報をリクエストに対して要求すればよく、そのような用途としてはセッション ID がお手軽でいいよねという時代があったかと思います。いや、もちろん、 CSRF 対策の文脈だけで言えば今も昔も間違いというわけではありません。セッション ID が秘密情報であるのは Web アプリケーションにおいて当然の前提ですので、 CSRF 対策としてリクエストに求めるべきパラメータとしての条件はたしかに満たしています。たとえば『安全なウェブサイトの作り方』改訂第6版では以下のように解説されています。 6-(i)-a. (中略) その「hidden パラメータ」に秘密情報が挿入されるよう、前のページを自動生成して、実行ページではその値が正しい場合のみ処理を実行する。 (中略) この秘密情報は、セッション管理に使用しているセッション ID を用いる方法の他、
beth321 2014/02/17
web制作

security

CSRF

セキュリティ

Cookie

Session

HTTP

技術

ssl

web
リンク
@IT: 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
ある日、大手SNS（Social Networking Site）のmixiの日記にこのような書き込みがあった。それも1人だけでなく、同日に数多くのユーザーの日記に同じ文面が掲載されていた。これは、単にこのような文章がはやり、ユーザー自身が意図して掲載したのではなく、ある仕掛けによってユーザー自身が気付かないうちに引き起こされた現象なのである。その仕掛けとは、CSRF（Cross-Site Request Forgeries）と呼ばれる攻撃手法の一種だ。編集部注：現在、「はまちちゃん」トラップは、mixi運営者により対策されています。上記のサンプルは、mixi風に再構成したものです。本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください
beth321 2014/01/03
Security

セキュリティ

csrf

はまちちゃん

web

mixi

あとで読む

脆弱性

programming

@IT
リンク
URL踏むと「こんにちは　こんにちは!!」　AmebaなうのCSRF脆弱性で“意図しない投稿”広がる
12月10日にPC版がスタートしたサイバーエージェントのミニブログサービス「Amebaなう」で、あるURLをクリックすると、「こんにちは　こんにちは!!」というフレーズとクリックしたURL文字列が自動で投稿され、「はまちや2」さんのアカウントを自動でフォローしてしまうという現象が広がった。 URLをクリックしたユーザーが意図しない機能を実行させられるWebアプリの脆弱性の一種・クロスサイトリクエストフォージェリ（CSRF）を突いたもの。同社は10日夜、URLをクリックしないようユーザーに告知。誤ってクリックした場合は投稿を削除し、はまちや2さんのフォローを外すよう呼び掛けた。11日朝までに脆弱性も修正したという。 mixiでも2005年、あるURLをクリックすると「ぼくはまちちゃん！」という日記が勝手に投稿されるという、CSRFを利用したスパムが流通したことがあった。コミュニティーサイト構
beth321 2013/06/19
　 ITmedia ニュース

news

セキュリティ

security

はまちちゃん

ネタ

Ameba

webサービス

amebaなう

web

CSRF
リンク
twitterに学ぶなりすまし投稿対策
先日もtwitter上の犯行予告により20歳の青年が逮捕されたようですが、なりすましによる誤認逮捕ではなかったのか気になるところです。そこで、twitterが、なりすまし投稿をどの程度対策しているかを調べてみることにしました。twitterの安全性を確認することが目的というよりも、twitterが実施している対策を知ることにより、皆様のWebサイトを安全にする参考にしていただければと思います。今回調べた「なりすまし投稿」の手法は下記の通りです。クロスサイト・リクエスト・フォージェリ(CSRF) クロスサイトスクリプティング（XSS） HTTPヘッダーインジェクションクリックジャッキング DNSリバインディングクッキーモンスターバグこのうち、上の5つの解説は拙稿「“誤認逮捕”を防ぐWebセキュリティ強化術」、最後のクッキーモンスターバグについては、過去のエントリ「クッキーモンスター
beth321 2013/04/02
twitter

security

セキュリティ

xss

Webサービス

csrf

web

開発

なりすまし

clickjacking
リンク
勝手に査読:Webアプリにおける11の脆弱性の常識と対策
「Webアプリにおける11の脆弱性の常識と対策」という記事を久しぶりに読みました。出た当事も思いましたが、基本的な誤りが多く、読者が誤解しそうです。このため、編集部から頼まれたわけではありませんが、「勝手に査読」してみようと思います。細かい点に突っ込んでいくとキリがないので、大きな問題のみ指摘したいと思います。 ※2013年2月25日追記このエントリに対して、編集部が元記事を修正くださいました。徳丸も修正に協力いたしましたが、十分正確な内容ではないことをお含みおきください。 ※追記終わり同記事の想定読者は誰か査読にあたり、この記事の想定読者を明確にしておいた方がよいですね。記事の冒頭には、連載の説明があります。本連載は、JSP／サーブレット＋StrutsのWebアプリケーション開発を通じて、Java言語以外（PHPやASP.NET、Ruby on Railsなど）の開発にも通用する
beth321 2013/02/19
*thresh25

セキュリティ

security

web

脆弱性

あとでみる

アプリケーション

あとで読む

CSRF

memo
リンク
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記はてなグループ日記のエクスポートデータは2020年2月28
beth321 2012/10/19
参考

security

CSRF

セキュリティ

browser

referer

http

mala

Webサービス

web
リンク
CSRFによる冤罪、誤認逮捕か。大阪市ウェブに大量殺人予告での逮捕の件: ホットコーナー
ブログ(iiyu.asablo.jpの検索) ホットコーナー内の検索でもASAHIネット(asahi-net.or.jp)全体の検索です。検索したい言葉のあとに、空白で区切ってki4s-nkmrを入れるといいかも。例　中村(show) ki4s-nkmr ウェブ全体の検索 ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。 --- 橋下徹市長の大阪市のウェブで「大量殺人をする」と投稿したという容疑で、アニメ演出家が逮捕された件。たとえば、 http://mainichi.jp/select/news/20120827k0000m040038000c.html 殺人予告:大阪市ＨＰに書き込んだ疑いで４２歳演出家逮捕 http://
beth321 2012/08/27
セキュリティ

事件

security

ネット

csrf

社会

Web

冤罪疑惑

アニメ

マスコミ
リンク
CSRFで強制ログインさせるというアイデア - ぼくはまちちゃん！
こんにちはこんにちは！！今日はCSRF脆弱性のちょっとした話です！このCSRFってなにかっていうと、サーバーへのリクエストを『誰かに勝手に送らせる』っていうセキュリティがらみの攻撃手法のひとつ。わかりやすい例だと、 HTMLの画像タグを以下のようにしたページを誰かに教える。 <img src="何々SNSの足跡.php" width="1" height="1"> そうすると、そのページを「見た人」が何々SNSの足跡.phpにアクセスしたことになる。 ※詳しくはこちらのマンガで → ［はまちちゃんのセキュリティ講座］ここがキミの脆弱なところ…！：第2回しーさーふって何ですか？ CSRFってこんな風に、「ログイン済みの人に何か操作させる」ってイメージが強くて、対策する側もまた、「既にログイン済みの人を守る」ような考えが強いんだよね。例えば、勝手に日記に投稿させないように対
beth321 2012/05/22
twitter

security

セキュリティ

CSRF

web

はまちちゃん

web制作

あぶない

フォーム

サービス
リンク
1