問題：間違ったCSRF対策～初級編～

脆弱性診断の学習のお供に、比較的簡単なCSRF対策バグの問題を提供します。この記事では問題のみを出し、想定解答は後日公開することにします。ネタバレとなるブックマークコメントやツイートなどは控えていただけると幸いです（「思いのほか簡単だった」など感想は可）。ブログ記事等に解説記事を書くことは歓迎いたします。 以下はテスト用に「ログインしたことにする」スクリプト（mypage.php）。ログイン状態で呼び出すこともでき、いずれの場合でもログインユーザのメールアドレスを表示します。 <?php // mypage.php : ログインしたことにする確認用のスクリプト session_start(); if (empty($_SESSION['id'])) { // ログインしたことにしてメールアドレスも初期化 $_SESSION['id'] = 'alice'; $_SESSION['mail'

[Steiger31226]

“/”

[n314]

スマホで見るとよくわからんから後でpcで見よ

[tmatsuu]

あれ、正直これで必要十分と思ってしまったが…今わかりました。

[t_yamo]

これはまあそうなるなと。

[love0hate]

なるほどね

[rryu]

上から順に見ていくと頭の中にうっかり前提を作ってしまうので意外と気づかない。

[Kiske]

これは簡単

[y-kawaz]

余りに雑すぎてむしろどの辺がCSRFなのか悩んでしまった。初級編だからこんなもんでいいのか。てかこのレベルが案外溢れてそうで怖い。

[mumincacao]

FW 使わず独自実装されたっぽいこーどでとときどき見かけるやつなのです（・ｘ【みかん

[Dai_Kamijo]

CSRF対策バグ問題の初級編です。脆弱性診断学習のお供にどうぞ。第２弾も予定しています / “問題：間違ったCSRF対策～初級編～ | 徳丸浩の日記” — 徳丸 浩 (@ockeghem) November 9, 2018 from Twitter https://twitter.com/Dai_Kamijo November 09, 2

[pathtraversal]

これは脆弱性診断員には瞬殺だな…まぁ、ソース読むのが苦手な人もいるか

[ockeghem]

CSRF対策バグ問題の初級編です。脆弱性診断学習のお供にどうぞ。第２弾も予定しています