解答：間違ったCSRF対策～初級編～

テクノロジーカテゴリーの変更を依頼記事元:

blog.tokumaru.org

31 usersがブックマークコメント

コメント

2

記事へのコメント2件

注目コメント
新着コメント

pathtraversal さすがに、これはできたよね

2018/11/12 リンク

ockeghem 解答編を公開します

2018/11/12 リンク

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

規約違反を報告

アプリのスクリーンショット

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

関連記事

解答：間違ったCSRF対策～初級編～

この記事は、先日の記事「問題：間違ったCSRF対策～初級編～」に対する解答編です。まだ問題を見ていな... この記事は、先日の記事「問題：間違ったCSRF対策～初級編～」に対する解答編です。まだ問題を見ていない方は、先に問題を読んで（できれば自分で解答を考えて）からこの記事をお読みいただくとよいと思います。それでは、解答を説明します。はじめに CSRF対策の不備として、ありがちなパターンは以下のとおりです。トークンが予測可能（ユーザIDのハッシュ値をトークンとして用いている等）他人のトークンが利用できてしまう（参考記事）トークンのチェック方法に不備がある。問題のコードは、暗号論的に安全な乱数生成器（PHPのrandom_bytes関数）を用いてトークンを生成し、それをセッション変数に記憶しているので、上記1 と 2 は問題ないと考えられます。したがって、3 が該当しそうだと当たりをつけます。そのためには、攻撃者は以下のトークンチェック(chgmail.php内)を回避する必要がありま

ブックマークしたユーザー

techtech05212024/02/22
s99e2092018/11/14
goto_haru2018/11/14
ayaniimi2132018/11/13
grover2018/11/13
kikuchi12012018/11/13
winterfall2018/11/13
morimop2018/11/13
lugecy2018/11/12
shigiryou2018/11/12
asyst2018/11/12
Hiro_Matsuno2018/11/12
sucrose2018/11/12
toshiharu_z2018/11/12
tukanana2018/11/12
pathtraversal2018/11/12
ockeghem2018/11/12
saranariya2018/11/12

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

設定を変更しましたx