解答:間違ったCSRF対策~初級編~
この記事は、先日の記事「問題:間違ったCSRF対策~初級編~」に対する解答編です。まだ問題を見ていない方は、先に問題を読んで(できれば自分で解答を考えて)からこの記事をお読みいただくとよいと思います。 それでは、解答を説明します。 はじめに CSRF対策の不備として、ありがちなパターンは以下のとおりです。 トークンが予測可能(ユーザIDのハッシュ値をトークンとして用いている等) 他人のトークンが利用できてしまう(参考記事) トークンのチェック方法に不備がある。 問題のコードは、暗号論的に安全な乱数生成器(PHPのrandom_bytes関数)を用いてトークンを生成し、それをセッション変数に記憶しているので、上記1 と 2 は問題ないと考えられます。したがって、3 が該当しそうだと当たりをつけます。そのためには、攻撃者は以下のトークンチェック(chgmail.php内)を回避する必要がありま
徳丸浩の日記: 問題:間違ったCSRF対策~中級編~
この記事は「問題:間違ったCSRF対策~初級編~」の続編です。前回同様、この記事では問題のみを出し、想定解答は後日公開することにします。ネタバレとなるブックマークコメントやツイートなどは控えていただけると幸いです(「思いのほか簡単だった」など感想は可)。ブログ記事等に解説記事を書くことは歓迎いたします。 この問題が果たして「中級」なのかについては異論があると思います。きわめて易しいと思う人もいれば、きわめて難しいと思う人も多いと思います。中をとって中級としましたが、現実には難し目かと思います。 今回の問題は、前回(初級編)のトークンチェック部分(chgmail.php内)のみを変更したものです。まずは変更箇所を説明します。 前回のおさらい if ($_POST['token'] !== $_SESSION['token']) { // ワンタイムトークン確認 die('正規の画面からご使用
問題:間違ったCSRF対策~初級編~
脆弱性診断の学習のお供に、比較的簡単なCSRF対策バグの問題を提供します。この記事では問題のみを出し、想定解答は後日公開することにします。ネタバレとなるブックマークコメントやツイートなどは控えていただけると幸いです(「思いのほか簡単だった」など感想は可)。ブログ記事等に解説記事を書くことは歓迎いたします。 以下はテスト用に「ログインしたことにする」スクリプト(mypage.php)。ログイン状態で呼び出すこともでき、いずれの場合でもログインユーザのメールアドレスを表示します。 <?php // mypage.php : ログインしたことにする確認用のスクリプト session_start(); if (empty($_SESSION['id'])) { // ログインしたことにしてメールアドレスも初期化 $_SESSION['id'] = 'alice'; $_SESSION['mail'
「Splatoon 2」をディープラーニングで攻略してみなイカ? 2018(前編) (1/3) - ITmedia NEWS
「Splatoon 2」をディープラーニングで攻略してみなイカ? 2018(前編)(1/3 ページ) 2017年夏に発売された「Splatoon 2」(Nintendo Switch向け)は、いわずと知れた人気シューティング対戦ゲームです。ゲームに勝つためには、インクを用いて敵チームのプレイヤーを倒したりステージの床を塗ったり、さまざまな要素を考慮する必要があります。発売後も、定期的にステージやブキの追加、新ルールの登場、ゲームバランスの微調整などがあり、とるべき戦略は日々変化し、今なおユーザーの熱狂が続いています。一方、熱中しすぎたユーザーの間では、負けが続くと「コントローラー投げた」「編成事故」「デボン改修はよ」(※)などと嘆く声も出ています。 (※)「編成事故」は、味方チーム4人のブキの組み合わせが悪いこと。「デボン改修はよ」は、「デボン海洋博物館」というステージの構成変更を望む声の
「Windows PCに勝手に『LINE』アプリがインストールされた」の声が増加中(2018年11月11日) | LINEの仕組み
昨日2018年11月10日頃より、Windows 10のPCを利用しているユーザーの間で「LINEが勝手にインストールされていた」との声が急増しています。 LINEを全く使っていないユーザーのパソコンに突然LINEアプリがインストールされていて、急にLINEの「ログイン画面」や「自動ログインがオンになっています」ポップアップが表示される等の現象が発生している模様です。 まだあまり話題になっておらず、詳細も分かっていない状況ですが、今回はこの「LINEアプリが勝手にインストールされていた」現象が発生したユーザーの声や、その原因となっている可能性があるWindows 10の機能について調べた内容を紹介します。 今のところ詳細は分かっていませんが、以前から発生している「Candy Crush Soda Sagaが勝手にインストールされた」「Facebookアプリが勝手にインストールされた」「Tw
5ch(旧2ch)をスクレイピングして、過去流行ったネットスラングの今を知る - にほんごのれんしゅう
5ch(旧2ch)ではここ数年はTwitterを使用するようになってしまいましたが、ネットのミームの発信地点であって、様々なスラングを生み、様々な文化を作ってきたと思います。 学生時代、2chまとめとか見ていたので、影響を受けてきたネット文化で、感覚値からすると、どうにも流行り廃りがあるようです。 5chの過去ログを過去18年ほどさかのぼって取得する方法と、懐かしいネットスラングのドキュメントに占める出現具合を時系列でカウントすることで、時代の変遷でどのように使用の方法が変化したのか観測することができます。 文末に「orz」って付けたら若い人から「orzってなんですか?」と聞かれて心身共にorzみたいになってる— ばんくし (@vaaaaanquish) October 19, 2018 図1. 今回集計したorzの結果 例えば、今回集計した5chの書き込み500GByte程度のログからで
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
