タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
SameSite攻撃者がCodeIgniter4とShieldでのCSRF保護を回避できる脆弱性の解説 — A Day in Serenity (Reloaded) — PHP, CodeIgniter, FuelPHP, Linux or something
CodeIgniter4とCodeIgniter Shieldでの組み合わせで、CSRF保護を回避できる脆弱性に関するセキュリティ勧告が2022/08/08に公表されました。今日は、この脆弱性について解説しておきます。 SameSite Attackers may Bypass the CSRF Protection · Advisory · codeigniter4/shield なお、この攻撃方法はCodeIgniterに限定されるものではありません。 修正済みのバージョン CodeIgniter 4.2.3 CodeIgniter Shield 1.0.0-beta.2 前提条件 この脆弱性を攻撃するには、攻撃者が攻撃対象のサイトと同じドメインのサブドメインサイトを支配下に置いている必要があります。 簡単に言えば、サブドメインサイトのページを書き換えられるということです。これはそのサ
はじめに 初めまして。第1チームの池内です。 OfferBoxは2012年にサービスを開始しましたが、稼働当初より使用しているフレームワーク(FuelPHP)のサポート切れをきっかけに、 LaravelへのリプレースPJが2020年から始動しました。 2024/4時点でようやく完了間近のところまで来ましたが、ここまで紆余曲折、多くの成功・失敗がありました。 そこで今回は、PJを大きく前半・後半に分けて振り返ってみたいと思います。 はじめに PJ前半(2020〜2022年) 当初のPJスコープ PJを進めていく上での課題 課題への対応(PJの方針転換) 課題への対応(リプレース手法の簡略化) PJ前半の振り返り PJ後半(2022〜2024年) ポイント1:リリース手法について リリース単位について FuelPHP/Laravel間の機能共有について ブランチ運用について 振り返り ポイント
【改訂版】本当は危ないCodeIgniter4の自動ルーティング — A Day in Serenity (Reloaded) — PHP, CodeIgniter, FuelPHP, Linux or something
【警告】 自動ルーティングは大変危険なので無効に設定を変更するか、CodeIgniter 4.2から追加された新しい「自動ルーティング(改善)」を使うことを強く推奨します。 【警告】 CodeIgniter4のルーティングはデフォルトではCodeIgniter3と同じくコントローラとメソッド名により、自動的にルーティングされます。 ルート設定を手動で行う必要がないため、非常に便利です。 しかし、コントローラフィルター機能が追加されたため、コントローラのロジックから一部がフィルターに分離されるようになりました。 例えば、認証済みかどうかの判定をフィルターに移すことができます。 この分離が新たなリスクを生み出しました。 今日は、この自動ルーティングの危険性について再度解説します。 動作確認環境 CodeIgniter 4.2.0-dev (f801829) PHP 8.0.15 PHPビルトイ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
FuelPHPからLaravelへの移行PJを振り返る - i-plug Tech Blog
x.com
togetter.com
x.com
full-count.jp
fubirai.hatenablog.com
weekly.ascii.jp