You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
先日、Rails で開発しているときに意図しない InvalidAuthenticityToken エラーが発生して、すごくハマってしまいました。そのときに Rails のCSRF対策の仕組みについて調べてみましたので、ブログに残しておきます。 Rails のCSRF対策 Rails が生成した ApplicationController には以下の記述があります。 class ApplicationController < ActionController::Base # Prevent CSRF attacks by raising an exception. # For APIs, you may want to use :null_session instead. protect_from_forgery with: :exception end protect_from_forg
1 「CSRF」と「Session Fixation」 の諸問題について 独立行政法人産業技術総合研究所 情報セキュリティ研究センター 高木 浩光 http://staff.aist.go.jp/takagi.hiromitsu/ 情報処理推進機構 ウェブアプリケーション 開発者向けセキュリティ実装講座 2006年2月28日, 4月4日 後日配布資料 2 目次 • 前提知識の確認 – Webアプリにおけるセッション追跡と認証の実装手段 – セッションハイジャック攻撃の原理と脅威 • CSRF (Cross-Site Request Forgeries) 別名: Session Riding – 歴史的経緯、原因、脅威、技術的対策、適法な存在推定手段 • Session Fixation – 歴史的経緯、原因、脅威、技術的対策、適法な存在推定手段 3 セッション追跡と認証の実装手段 • セッ
合わせて読んでください:Flashと特定ブラウザの組み合わせでcross originでカスタムヘッダ付与が出来てしまう問題が未だに直っていない話 (2014-02/07) XMLHttpRequestを使うことで、Cookieやリファラ、hidden内のトークンを使用せずにシンプルにCSRF対策が行える。POSTするJavaScriptは以下の通り。(2013/03/04:コード一部修正) function post(){ var s = "mail=" + encodeURIComponent( document.getElementById("mail").value ) + "&msg=" + encodeURIComponent( document.getElementById("msg").value ); var xhr = new XMLHttpRequest(); xhr
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
横浜市のホームページに小学校への襲撃を予告する書き込みがされた事件で、逮捕された男子大学生が事件とは無関係だったと判断する根拠の一つになった、パソコンのデータの不自然な記録に、警察が当時気付いていながら、原因を特定しないまま放置していたことが、神奈川県警察本部への取材で分かりました。 この事件では、インターネットの掲示板「2ちゃんねる」に貼り付けられたアドレスにクリックすると、勝手に別のホームページに書き込みが行われる仕掛けがされ、19歳の男子大学生はこのアドレスをクリックして、横浜市のホームページに小学校への襲撃予告が書き込まれたとみられることが、警察のこれまでの捜査で明らかになっています。 警察によりますと、大学生を逮捕したあと、大学生のパソコンに残されたデータの記録を解析したところ、300字を超える襲撃予告が、ホームページに接続してから僅か2秒の間に書き込まれていたことが分かりました
http://www.yomiuri.co.jp/national/news/20121021-OYT1T00197.htm?from=main3 驚くべき事実が明らかになっていますね。 県警幹部によると、少年のパソコンは6月29日午後3時17分、インターネット掲示板に貼り付けられていたURL(ネット上の住所)をクリック。その後、第三者が設けたとみられるサイトに自動的に移動し、数秒の間に複数のサイトに連続してアクセス。横浜市のHPにアクセスしてからは2秒間で小学校襲撃予告の書き込みを終えていた。 幹部らによると、保土ヶ谷署生活安全課と捜査協力をした県警サイバー犯罪対策センターでは、少年を7月1日に逮捕した直後から、こうした不自然な通信履歴に気づき、同センターが詳しく解析。同9日までに、「わずか2秒間で書き込むことは人の手では不可能」として、第三者が関与した可能性について把握し、その見解を同
不正操作されたパソコンから横浜市のホームページ(HP)に小学校への襲撃予告が書き込まれた事件で、神奈川県警が少年(19)(保護観察処分)を逮捕した直後、パソコンの通信履歴に第三者の不正操作をうかがわせる不自然な記録があることに気づきながら、裏付け捜査を怠っていたことがわかった。 県警幹部が20日、明らかにした。県警では捜査が不適切だった可能性があるとして取り調べに当たった捜査員らから当時の状況を聞いている。 県警幹部によると、少年のパソコンは6月29日午後3時17分、インターネット掲示板に貼り付けられていたURL(ネット上の住所)をクリック。その後、第三者が設けたとみられるサイトに自動的に移動し、数秒の間に複数のサイトに連続してアクセス。横浜市のHPにアクセスしてからは2秒間で小学校襲撃予告の書き込みを終えていた。 幹部らによると、保土ヶ谷署生活安全課と捜査協力をした県警サイバー犯罪対策セ
他人のパソコンを遠隔操作してインターネット上で殺害予告などが繰り返し行われた事件で、これまでに警察が逮捕した4人がいずれも誤認逮捕だったことがわかり、改めて警察の刑事捜査のあり方が問われる結果となっている。 今回の捜査はサイバー犯罪の捜査という意味でも、また一般の刑事事件の捜査という意味でも、捜査そのものが杜撰だった。しかし、捜査の杜撰さをとりあえず脇に置いたとしても、逮捕された4人のうち2人が、やってもいない犯行を自供している。そればかりか、犯行の動機まで詳細に供述していた。なぜやってもいない犯罪を自白したり、動機まで詳細に供述するなどということが、起こり得るのか。 警察庁の片桐裕長官は18日、これまでに逮捕した4人がいずれも「真犯人ではない方を逮捕した可能性は高いと考えている」と語り、その後警察は誤認逮捕された4人に対して謝罪を行っている。 今回の事件では、6月29日に横浜市のウェブサ
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
こんにちはこんにちは!! 今日はCSRF脆弱性のちょっとした話です! このCSRFってなにかっていうと、 サーバーへのリクエストを『誰かに勝手に送らせる』っていうセキュリティがらみの攻撃手法のひとつ。 わかりやすい例だと、 HTMLの画像タグを以下のようにしたページを誰かに教える。 <img src="何々SNSの足跡.php" width="1" height="1"> そうすると、そのページを「見た人」が何々SNSの足跡.phpにアクセスしたことになる。 ※詳しくはこちらのマンガで → [はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…! : 第2回 しーさーふって何ですか? CSRFってこんな風に、 「ログイン済みの人に何か操作させる」ってイメージが強くて、 対策する側もまた、「既にログイン済みの人を守る」ような考えが強いんだよね。 例えば、勝手に日記に投稿させないように対
Web開発者のためのサードパーティCookieやらトラッキングやらの問題点について三回ぐらいに分けて書きます。 この文章は個人的に書いていますので、おい、お前のところのサービスがサードパーティCookieに依存してるじゃねーかというツッコミがあるかもしれないが、そういうことを気にしているといつまで経っても公開できないという問題が出てしまうので、そんなことはお構いなしに書く。ちなみに例外なく自社サービスに対してもサードパーティCookieに依存するな死ねと言っている。これはWebプログラマー観点で、自分がサービス開発に関わる上で知っておかねばならないだろう知識として十数年間だらだらとWebを見ていて自然に知っていたものと、あるいは興味を持って率先して調べたものが含まれている。ググッて直ぐに分かる程度の用語の定義的なことは書かない。あくまでWebサイト制作者側からの観点なので、ブラウザ開発関係
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2)。 備忘のため転載いたしますが、この記事は2011年1月27日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり 橋口誠さんから今話題の書籍パーフェクトPHP (PERFECT SERIES 3)を献本いただきました。ありがとうございます。このエントリでは同書のCSRF対策の問題点について報告したいと思います*1。 本書では、CSRFの対策について以下のように説明されています(同書P338)。 CSRFへの対応方法は、「ワンタイムトークンによるチェックを用いる」「投稿・編集・削除などの操作の際にはパスワード認証をさせる」などがあります。一番確実な方法は両者を併用することですが、ユーザ利便性などの理由から簡略化する場合で
以下は、WEBプログラマー用のWEB脆弱性の基礎知識の一覧です。 WEBプログラマーの人はこれを読めばWEB脆弱性の基礎をマスターしてWEBプログラムを書くことができるようになっているかもです。 また、WEB脆弱性の簡易リファレンスとしても少し利用できるかもしれません。 WEBアプリケーションを開発するには、開発要件書やプログラム仕様書通りに開発すれば良いというわけにはいきません。 そう、WEB脆弱性を狙う悪意のユーザにも対処しないといけないのです。 今回、WEBアプリケーションを開発にあたってのWEB脆弱性を、以下の一覧にまとめてみました。 このまとめがWEBアプリケーション開発の参考になれば幸いです。 インジェクション クロスサイト・スクリプティング セッション・ハイジャック アクセス制御や認可制御の欠落 ディレクトリ・トラバーサル(Directory Traversal) CSRF(
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く