第2回 しーさーふって何ですか? | gihyo.jp
※ src: 画像の場所を指定する属性。相対パスではなくURLで書けば、他のドメインにある画像を表示することも可能。つまりURLに対してGETリクエストを行う(閲覧者に行わせる)お手軽な手段とも言え、これを用いてなんらかの攻撃が行われることもしばしば。 まとめ このように、imgタグなどによって、閲覧者のブラウザからどこかのURLへ任意のリクエストを「送らせる」ことは簡単にできてしまいます。しかも、それで発生するリクエストは、閲覧者自身がリンクをクリックしたときとなんら変わりはありません。では、これを攻撃として用いられた場合(つまりCSRF)、Webプログラム側ではどのように防げばよいのでしょう。 きっとまっさきに思いつくのは、「POSTリクエストを使うようにする」、あるいは「リファラヘッダ(リンク元が記載されているヘッダ行)のチェックを行う」などでしょうか。しかしそれだけでは不
[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…!:第1回 HTTPのしくみを復習しよう|gihyo.jp … 技術評論社
こんにちはこんにちは ! ! はまちや2です! 今日からぼくと一緒にWebプログラミングのセキュリティについて、ちょっぴり勉強してみませんか!今回はHTTPがどんなやりとりをしているのか、簡単におさらいしてみましょう!
個人だから甘いのかな - ぼくはまちちゃん!
あらあら予告inがXSSやられちゃったらしいですね! 使い古された手法? いまどきエスケープ処理すらしてなくてダサい? 関連の記事に対して、はてなブックマークでも色々言われていたり、 http://b.hatena.ne.jp/t/%E4%BA%88%E5%91%8A.in?threshold=1 ニュースサイトでも、こんな煽り記事を書かれていたりするけれど… 今回の件についてIT企業に勤めるエンジニアに聞いてみると、 「これは初歩中の初歩。XSSコード書いた方も10分も掛かってないよ。それを事前に対策してなかった予告inにはもっとビックリだけど、、、素人なの?」 と語る。 予告inセキュリティ脆弱性を狙ったコード!? 「予告in開発者は素人」 http://news.livedoor.com/article/detail/3759632/ それってどうだろうね。 GoogleやAmazo
あたまの回転が遅い - ぼくはまちちゃん!
おそいんです…! こんにちは…! ネット上で、ごく稀になんだけど、ぼくのことを 「頭の回転が速いですねー」 なんて、ほめてくれる人がいたりするんですが! そんなとき、ものすごい恐縮しておなか痛くなっちゃったりしちゃうんだけど、 実際にはまったく逆で、冗談抜きで頭の回転がすごい遅いんですぼく。 どれくらい遅いかって、たとえばmixiなんかだと、日記書いてコメント返したりするよね。 たぶんみんな、コメントくらい、2、3分もあれば返せるんじゃないかな。 ぼくはコメントひとつ返すのに15分とか平気でかかっちゃう。 気のきいた返事がなかなか思い浮かばなくて、ものすごい考え込んじゃうよ。 悩んで悩んで、ようやくなんとか搾り出すような感じになっちゃう。 それで結局でてくるのは、ひとことふたこと程度の、たいして面白くないことばなんだけどね。 たとえば「こんにちは」って挨拶のひとことですら、 『本当にここは
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
