はてなブックマーク

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? みすてむず1 アドカレ(4) の4日目の記事です https://adventar.org/calendars/8652 はじめに 煽りタイトルでスミマセン🙇‍♂️ 昨今情報漏洩事故が多発しており、セキュリティの重要性が叫ばれています。 事故原因は様々で、ネットワークやプラットフォームの不備、アプリケーションの脆弱性、人的要因などがあります。 Web開発とは切っても切れないWebアプリケーションセキュリティですが、皆様は 脆弱性の原理を正しく理解していますか？ 脆弱性の名前や、コードを書く際に気を付けなければならないポイントやフレーム

はじめに Azure Advent Calendar 2020 23日目の記事ということで、Azure MonitorとKustoの話を書きます。 本記事はクレジットカードを取り扱うサイトにおいて、悪用を試験的に検知した話になります。 悪用対策のベストプラクティスではなく、Azure Monitorでこんなこともできるよ的な内容になりますので、 その旨ご留意いただければと思います。 また本記事はKusto初学者による試行錯誤が含まれていますので、 同じくこれからKustoにチャレンジされる方はぜひご参考ください。 Kustoに改善点があればご指摘いただけますと幸いです。 背景 有効なクレジットカードの当たり判定に悪用されてしまった… 勤め先はWebシステムのパッケージを持ち、カスタマイズして納品するBtoB企業です。 ECサイトの構築事例も多いのですが、EC案件でクレジットカードを機械的に

図にすると以下のようになります。 Strict 外部サイトからのアクセスではCookieを送らない。 Lax 外部サイトからのアクセスはGETリクエストのときだけCookieを送る。 None 従来通りの動き。 【追記】なおChrome 80以降でSecure属性を付けずSameSite=Noneを指定した場合、set-cookie自体が無効になります。 セキュリティ上の効果 CSRF対策になります。 CSRF (クロスサイト・リクエスト・フォージェリ) とは、 WEBサイトがユーザー本人の意図した動作であることを検証していないためにおこる脆弱です。 たとえば会員の退会ページを https://example.com/mypage/delete/で用意し、 ボタン操作でsubmit=1が送信されて退会処理が実行される仕様の場合、 パラメータが誰でもわかるので、外部に用意された悪意のあるフォ