CSRFとReferer改竄 - teracc’s blog
seasurfersというMLに参加している。このMLの名称(seasurfers)は、CSRF(Cross Site Request Forgery)をひねった?もののようで、CSRFをはじめとしたWeb APセキュリティが主な話題のようだ。 ここで最近取り上げられていたのは、RefererでCSRFを防止する対策の問題だ。この対策は、攻撃者が自身のRefererを制御(改竄)するのはたやすいが、第三者のRefererを制御するのは不可能であることを利用したもの。Refererチェックは技術的に簡単にできるため、RefererでCSRF対策を行なっているサイトも多いかもしれない。 MLで話題になっていたのは、Flashの欠陥(bugtraqに7月に投稿された記事、交差点の猫 - リファラーを 偽装するのよ Flashで)を利用すると、攻撃者が被害者を任意のサイトにアクセスさせ、その際のR
FlashでHTTPリクエストヘッダ操作 - 交差点でコーヒーを
--------------------------------- 11/15追記:Flash Playerのヘッダインジェクションの脆弱性が直ったようです。 Update available for HTTP Header Injection Vulnerabilities in Adobe Flash Player これで、とりあえず、Referer操作はできないみたいです。そして、何故か、「Expect」ヘッダも同様に操作できなくなってるみたいです。そういう直し方微妙です。 他のヘッダは?問題が出るWebアプリケーション結構あるのですが・・・。 そして、気になるのが、Flash Playerの新しいのが出たからといって、更新する人がいるかってとこですね。自動更新されないすよね。を、一応あるのか。設定しないといけないっぽいけど。→ここ? Flashで作られてるって事は、勝手に自動更新オ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Home - Web Application Security Consortium
