超絶技巧CSRF / Shibuya.XSS techtalk #7CSRF, HTML Form Protocol Attack, Cross-protocol scripting attackについて
なぜうちのFuelPHPは、Security::check_token()が常にfalseだったのか。 | nzworks
なぜうちのFuelPHPは、Security::check_token()が常にfalseだったのか。 おはようございます。一晩中 表題の件を調べておりました・・。 過去の記事「FuelPHPの時間切れ(セッションタイムアウト)について」の訂正です。はい。 仕様を把握していなかっただけですが、未来の自分のためにメモを残します。開発でつまずくとGoogle様に頼っているのですが、自分の過去の記事に助けられることが稀に良くある。おかしい!覚えてない!ポンコツっぷり。 さて、本題です。 ユーザー登録画面を作るときなんかに入れているCSRFの例です。私はbeforeに入れていたりします。 class Controller_Account extends Controller_Base { public function before() { parent::before(); // CSRFチェ
Chicken life » Blog Archive » FuelPHPでCSRFが動かない件
FuelPHPの入力フォームでFuelが提供している機能を使ってCSRF対策を入れました。 やり方は、下記のサイトを参考にしました。 FuelPHP1.7、CSRF対策としてセキュリティトークンを使う CSRF対策の導入 具体的な方法は下記の通り。 1./fuel/app/config/config.phpの「token_salt」にトークンを設定。 'token_salt' => 'xxxxxxxxxxxxxxx', // 任意のトークン 2.View側のフォーム内で下記を埋め込む。 <?= Form::csrf() ?> 3.受け側のControllerでチェック if ( ! Security::check_token()) { // たとえばエラーページに飛ばす。 throw new HttpNotFoundException; } これで準備OK! 設定も簡単であとは画面を動
ルーターの脆弱性を探して侵入する手順 - 素人がプログラミングを勉強していたブログ
更新し忘れたが、既に下記の脆弱性は修正されている 4/11/2013 6:42 PM 追記: 明日エンジニアと調査するとカスタマーサポートから連絡があり、また近日アップデートパッチを用意するとのことだ。 先日紹介した、Satechi Smart Travel Routerだが、ふと直感的にセキュリティに問題があるような予感がしたので、自分のルーターをアタックしてみた。 結果から言うとCSRFが存在し、外部からインターネット越しに細工をしてあるURLを踏ませることで、ルーターのパスワード、SSIDを書き換えたり、WiFi to WiFiのリピータ機能のソースとなるWiFiを勝手に別の場所に書き換えて、Man in the middle攻撃を成立させたりできることが発覚した。 自分がどのようにSatechi Smart Travel Routerの脆弱性を発見したのかを動画にとったので、無編集
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
