「CSRF」と「Session Fixation」の諸問題について
1 「CSRF」と「Session Fixation」 の諸問題について 独立行政法人産業技術総合研究所 情報セキュリティ研究センター 高木 浩光 http://staff.aist.go.jp/takagi.hiromitsu/ 情報処理推進機構 ウェブアプリケーション 開発者向けセキュリティ実装講座 2006年2月28日, 4月4日 後日配布資料 2 目次 • 前提知識の確認 – Webアプリにおけるセッション追跡と認証の実装手段 – セッションハイジャック攻撃の原理と脅威 • CSRF (Cross-Site Request Forgeries) 別名: Session Riding – 歴史的経緯、原因、脅威、技術的対策、適法な存在推定手段 • Session Fixation – 歴史的経緯、原因、脅威、技術的対策、適法な存在推定手段 3 セッション追跡と認証の実装手段 • セッ
サイトを安全に!PHPでcsrf対策を行う方法【初心者向け】
csrfとは CSRF(クロスサイトリクエストフォージェリ)とは、Webアプリケーションの脆弱性・またそれを利用した悪意のある攻撃を指します。 どんな攻撃か具体例を出してみますね。 仮にhoge.comというサイトにログインしている状態で、下記のリクエストを行うと指定したsend_user_idに指定したpointを送れるとします。 リクエスト先: http://hoge.com/send_point.php メソッド: POST パラメータ: send_user_id ・・・ ポイントを送付するユーザID point ・・・ 送付するポイント数 悪意のある攻撃者が用意したページで下記のフォームがあるとします。 もし、hoge.comにログインしている状態のユーザが下記のボタンを押してしまうと、攻撃者に自分のポイントを送付してしまいます。 もちろん、hoge.comサイトがCSRF対策を行
POST送信を行っているページにBackするとエラーが出る際の対処法 - Qiita
経緯 クライアント「ブラウザで戻る、進むをした時に、エラーが出ないようにしてほしい」 僕「なるほど やってみます」 備忘録メモ 実際にはまっていた理由はsession_start();がソース上にいくつもあって、どこが本当に利用されているのかわからなかったからなんだけど… やっぱりフレームワークはちゃんと使った方がいいよね… 参考にさせていいただいたサイト 忘れんうちに書いとけ:PHPでWebページの有効期限が切れてますとなる時の傾向と対策 ブラウザの戻るボタンを押すと有効期限切れとなるのはなぜですか - PHPプロ!Q&A掲示板 エラーの内容と原因 POST送信されたデータをもとに処理を行っている画面に、ブラウザの戻るボタンや、JSのBackで戻ろうとすると、有効期限切れエラーが表示されてしまう。 原因は、PHPでSESSIONをStartした際に、Sessionを制御するヘッダーが送信
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
