PATHの設定及び環境変数JAVA_HOMEの設定
Java を使ったプログラムのコンパイルや実行するために必要なファイルが設置されたディレクトリへ PATH を設定する方法について解説します。今後バージョンが変更になった場合や異なる JDK へ切り替えを少し容易にできるように環境変数 JAVA_HOME の設定を行った上で PATH を設定します。 Windows10で環境変数を設定する画面を表示する PATH の設定や環境変数 JAVA_HOME の設定は環境変数の設定画面で行います。なお PATH も環境変数の一つです。 Windows10 の環境で環境変数の設定をするにはデスクトップ左下にあるスタートメニューをクリックし、表示されたアプリの一覧の「Windowsシステムツール」をクリックしてください。そして展開された一覧の中から「コントールパネル」をクリックしてください。 「コントロールパネル」が表示されたら「システムとセキュリティ
サービス終了のお知らせ - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
スクリプトの実行はできない(XSS対策されている)し、tokenは導入されている(CSRF対策されている)のに、tokenを奪取され、不本意な操作をされてしまう例というのを1つ、やってみたいと思います! 実証だニャン! http://d.hatena.ne.jp/kinugawamasanyan/20101012/nyan 原理 こういうフォームがあったら、submitボタンを押下した時にtokenの値がA、Bどっちにポストされるでしょうか。 <form action="A" method="post"> <form action="B" method="post"> <input type="hidden" name="token" value="123123123"> <input type="submit"> </form> 答えはAです。 つまり本来設置されたフォームより前に別のf
CVE-2016-7401 CSRF protection bypass on a site with Google Analytics の解説
gistfile1.md CVE-2016-7401 https://www.djangoproject.com/weblog/2016/sep/26/security-releases/ https://hackerone.com/reports/26647 pythonのcookie parserが ; 以外もpairsの区切り文字として解釈するので、google analyticsのreferrer経由でsetされるcookieを使ってCSRF tokenを上書き可能だったという問題。 django側でcookie parser自前で実装、python本体は直ってないようだ https://github.com/django/django/commit/d1bc980db1c0fffd6d60677e62f70beadb9fe64a 多くのcookie parserは、pairsの区
twitterにクロスサイトスクリプティング(XSS)脆弱性があればパスワードを変更できる - ockeghem's blog
秋のDK収穫祭などで騒がれている、いわゆるDK祭り。 さすがの私も、今夜半の祭りにはmaitter。 私のtwitterが荒らされていたのだ。 http://blog.livedoor.jp/dankogai/archives/50959103.html 現象から見てセッションハイジャックされたと思われるが、原因となる脆弱性が小飼弾氏の主張どおりCSRF(Cross Site Request Forgeries)だったのか、パスワードは窃取されたのか、元々のパスワードが類推しやすいものだったのかなど、議論を呼んでいる。 私は、現象からみて、原因となる脆弱性はCSRFではなく、XSSだったと思う*1。twitterにXSS脆弱性があれば、セッションハイジャックにより、第三者が小飼弾氏になりすまして発言するところまでは可能だ。しかし、一般的にはXSSではパスワードまでは窃取できない。id:ha
民放へのメール 計6件への関与認める NHKニュース
遠隔操作できるウイルスに感染したパソコンが悪用され、犯罪を予告する書き込みをした疑いで男性2人が逮捕されたあと釈放された事件で、都内の民放に自分が真犯人だとして6件の脅迫事件への関与を認めるメールが届いていたことが分かりました。 警視庁は犯人しか知り得ないような内容が書き込まれていることから犯行声明の疑いがあるとみて調べています。 この事件は、ことし7月、大阪・中央区のホームページに無差別殺人を予告する内容の書き込みがされたほか、9月には、三重県の伊勢神宮を「爆破する」などと書き込まれたもので、いずれも遠隔操作できるウイルスに感染したパソコンが悪用され、逮捕された男性2人が無関係の可能性が高いとして釈放されました。 この事件を巡って今月10日、民放のTBSに対して「私が真犯人です」というタイトルで、「現在報道されている大阪・三重の遠隔操作ウイルス事件について私が犯人です」と書かれたメールが
前文 時々、このWeb APIってCSRF対策出来てますか?とか そのCSRF対策ってなんで安全なんですか?とか、そういう質問を友人・知人・同僚から受けます。 その質問に対して、都度回答をしているのですが、改めて記事としてまとめようかな、というのがこの記事です。 もし私の認識に穴・誤りがありましたら、ぜひ指摘お願いします。 前提事項 この記事中では、CSRF対策のみにフォーカスします。 そのため、以下はスコープ外です(無駄な議論回避のための前提事項です)。 セキュリティに銀の弾丸などないので、複数の脆弱性対策を組み合わせて、安全に行きましょう。 XSS脆弱性により、CSRFが可能である ブラウザの脆弱性により、CSRFが可能である XXXの脆弱性により、CSRFが可能である 前提知識 CSRF対策について語る上で必要な知識はいくつかありますが、この記事では以下の知識を前提に扱います。 ご存
Rails 3.0.4と2.3.11からXHRリクエストの際もCSRFトークンの検証が必須になったので注意 - YomuKaku Memo
Rails 3.0.4と2.3.11がリリースされました。重要なセキュリティ対策のリリースのようです。 最も大きな変更点はCSRF対策強化で、この結果として、AJAXのために従来使用していたJavaScriptのコードでは、get以外のメソッドの部分が動作しなくなるため、当該箇所の修正が必要になります。 RailsではCSRFの防止にトークンが用いられています。Rails 3.0.3以前はAjaxのXHRリクエストではCSRFが起こりえないという前提でトークンの検証を行わないようになっていましたが、FlashやJava appletを利用した場合にcsrfが起こる可能性があるとのことで、Rails 3.0.4(およびRails 2系のRails 2.3.11)ではXHRリクエストの場合もトークンの検証を行うように変更されたようです。 したがって、Rails 3.0.4(およびRails 2
圧縮された HTTPS レスポンスの長さを観測することで、攻撃者は HTTPS ストリームの暗号文から、ウェブサイトの認証鍵など (secret) を推測することが可能です。 Salesforce.com の Angelo Prado 氏は、下記の通り報告しています。 Extending the CRIME vulnerability presented at Ekoparty 2012, an attacker can target HTTPS responses to recover data from the response body. While the CRIME attack is currently believed to be mitigated by disabling TLS/SSL/level compression, compressed HTTP respons
極める!Security Component (CakePHP Advent Calendar 2010 24日目) : akiyan.com
極める!Security Component (CakePHP Advent Calendar 2010 24日目) 2010-12-24 目次 この記事はCakePHP Advent Calendar 2010 24日目に向けて書きました CakePHP Advent Calendar 2010に参加したい!と思ったときには既に遅し、トリの24日しか空いておらず、トリっぽい記事なんて書けないわーと思っていました。が、主催のcakephperさんより「べつにトリっぽくなくていいですよ」との温かい言葉を頂いたので、前々から書きたかったSecurityコンポーネントの話を書いてみます。対象バージョンは1.3.6 Stableです。 ちなみにAdvent Calendarとはなんぞや?といいますと、cakephperさんの書き込みより以下引用。 技術系の方がやっているAdvent Calenda
JavaScript のみを使って、クロスドメインを実現しつつ POST メソッドでリクエストを送信する方法について解説します。 ここで解説する方法にはこんな特徴があります。 (2009-10-30 追記) iframe の unload のタイミングについて、重大な不具合がある可能性に気づきました。Chrome/Firefox において、2度イベントが発生している可能性が高いです。unload イベントを使わない場合は無関係です。結論が分かったら修正版をこのページで公開します。 (2010-01-29 追記) Chrome は大丈夫そうです。Firefox もカウンタ or フラグを使ってイベントを記録すれば大丈夫ぽいです。ちゃんと直せて無くてすいません。 XMLHttpRequest では不可能な、クロスドメインによるポストを実現している。 元になるページの文字エンコードの種類にかかわ
独自ヘッダをチェックするだけのステートレスなCSRF対策は有効なのか? — A Day in Serenity (Reloaded) — PHP, CodeIgniter, FuelPHP, Linux or something
「WebAPIのステートレスなCSRF対策」という2011-12-04の記事がありました。 ここで説明されているCSRF対策は、 GET、HEAD、OPTIONSメソッドのHTTPリクエストはCSRF保護の対象外 HTTPリクエストにX-Requested-Byヘッダがなければエラーにする という非常にシンプルなものです。 そして、この対策の原理として以下の説明がありました。 form, iframe, imageなどからのリクエストではHTTPリクエストに独自のヘッダを付与することができません。独自のヘッダをつけるにはXMLHttpRequestを使うしかないわけです。そしてXMLHttpRequestを使う場合にはSame Origin Policyが適用されるため攻撃者のドメインからHTTPリクエストがくることはない、ということのようです。 ここで、 XMLHttpRequestを使
http://blog.monoweb.info/blog/2012/02/18/ruby-secure-web-app/
See related links to what you are looking for.
はじめに PHPによる簡単なログイン認証いろいろで紹介したセッション認証において,「あるオリジン上でログインしたら別のオリジン上でもログインしたことにする方法」,つまりクロスオリジンでセッションを共有する方法(変数$_SESSIONを共有する方法)を解説します. teratailで回答していただいた方々,ありがとうございました teratail - シングルサインオン認証はCSRFセーフなの?(31529) 共通のドメイン上にサブドメインで分岐している場合 セッション用Cookieのdomain属性を変更する
【なりすましウイルス】「告白文のゆくえ」「犯行日」「年齢」 真犯人解明を阻む3つの謎+(1/3ページ) - MSN産経ニュース
遠隔操作ウイルスに感染したパソコン(PC)から犯行予告・脅迫のメールや書き込みが繰り返されていた事件は、警察当局に逮捕された4人が冤罪だったことが明らかとなり、TBSなどに犯行声明メールを送った「真犯人」の追跡に捜査の重点は移った。犯行声明で言及のあった13件の犯行予告・脅迫は警察当局によってすべてが裏付けられたが、謎は多い。文面からは、年配者の印象を受ける一方で、ウイルス作成の手口には若者特有の傾向が垣間見えるなど、相反する犯人像も浮かぶ。 犯行声明によると、「真犯人」が仕掛けた最初の犯行予告は6月29日。ネット掲示板に、横浜市のホームページに小学校への無差別殺人予告のメールを送りつけるように細工したアドレスを貼り付け、男子大学生(19)に閲覧させた。 大学生は7月1日に神奈川県警に威力業務妨害容疑で逮捕され、2日にテレビなどで報道された。声明では犯行の手口と予告文を具体的に記した後、「
Flashと特定ブラウザの組み合わせでcross originでカスタムヘッダ付与が出来てしまう問題が未だに直っていない話
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
記事データ 投稿者 望月真琴 投稿日時 2006-02-03T00:07+09:00 タグ CSRF mixi まとめ アクセスログ セキュリティ 概要 本人の意図しないところで mixi の足あとを取得されてしまう……という話ですが、 mixi の中のための情報を持ったまま外出しなければ済むだけではという話。 リプライ 2 件のリプライがあります。 mixi の足跡を本人に悟られずに取得するネタ やねうらお-よっちゃんイカを買いに行ったついでに家を買う男 - mixi hacks で、本人の意図しないところで足あとを取得できる手段が紹介されていますが、定期的にこういった話は浮上しますね。 私が知る限りで mixi 関連のものを簡単に羅列してみましょう。 インターネット殺人事件 : 日記 : 2005-02 にて今回のものと同様の発想が提唱されました。既存のアクセスログより多くの情報が取れ
■ 暗黙的に形成する事実標準の話と回避策の話を混同してはいけない 「ぼくはまちちゃん」 ――知られざるCSRF攻撃, 上野宣, @IT, 2005月4月27日初版、2006年11月8日修正版 ●リファラーで発信元をチェック HTTPリクエストを受けたとき、そのリクエストがどこのWebページから発行されたものかを示すリファラー(REFERER)と呼ばれる情報を得ることができる。この情報を活用し、本来意図したWebページ以外からのリクエストを拒否することで、CSRFによる外部からのリクエストを防ぐことができる。 ただし、ユーザーがリファラー情報を出力しないブラウザを使っている場合、このチェックを導入すると正当な操作でも受け付けなくなってしまう。 懸念されるリファラー情報偽装に対する問題だが、以前はリファラー情報を発行するのは攻撃を踏んでしまった自分自身なので、リファラー情報を偽装する動機がなく
IPA ISEC セキュア・プログラミング講座:Webアプリケーション編 第4章 セッション対策:リクエスト強要(CSRF)対策
リクエスト強要(CSRF:Cross-site Request Forgery)とは、別のサイトに用意したコンテンツ上の罠のリンクを踏ませること等をきっかけとして、インターネットショッピングの最終決済や退会等Webアプリケーションの重要な処理を呼び出すようユーザを誘導する攻撃である。 ブラウザが正規の Webコンテンツにアクセスした際には毎回、セッションを維持するために所定の Cookie、Basic認証データあるいは Digest認証データがブラウザから Webサーバ宛に送出されるという性質を、この攻撃は悪用する。 ユーザの意図に反することを検証できないWebアプリケーション この攻撃の対象となるのは、トランザクション投入のきっかけとなったフォーム画面が自サーバから供給(POST)されたものであることを確認していない Webアプリケーションである。言い換えれば、ブラウザから自動的に得られ
ちょっと前のエントリですが、SunでAjaxに注力されているGreg Murray氏が Ajaxで複数ドメインに渡ってデータを取得したい場合の対処としてプロクシ を用いる方法を紹介しています。 http://weblogs.java.net/blog/gmurray71/archive/2006/07/the_xmlhttpprox.html 他ドメインとデータをやりとりしたい場合はJSONPが一般的かなという感じがします。 FireFox限定で構わなければgreasemonkeyを使うという手もありますし、Flashなら crossdomain.xmlで対処するのが通例かと思います。 ですが、JSONPのようにクライアント側のスクリプトで対処する場合にはセキュリティ 上の不安もありますし、ブラウザがバージョンアップしてJavaScriptの実行に関する セキュリティを強くした場合に動作し
事件の概要 平成24年6月29日から9月10日にかけて、インターネット掲示板「2ちゃんねる」を利用して、第三者のパソコンを遠隔操作ウイルス「iesys.exe」に感染させるなどし、感染したパソコンから無差別殺人や航空機爆破等の犯罪予告を内容とする脅迫文を、市役所等のウェブサイトに投稿し、また、メールで送信することにより、市役所や会社の業務が妨害されるなどの事件が連続して発生しました。 平成24年6月29日、神奈川県横浜市役所のウェブサイト上に、横浜市内の小学校に対する無差別大量殺害予告が行われた結果、同校の業務が妨害されました。 平成24年7月29日、大阪府大阪市中央区役所のウェブサイト上に、通称オタロードにおける無差別大量殺害予告が行われた結果、同区役所職員の業務などが妨害されました。 平成24年8月1日、航空会社のウェブサイト上に、成田国際空港を離陸し、ニューヨークへ向け航行中の航空
とっても簡単なCSRF対策 - Qiita
【2021/10/15 追記】 この記事は更新が停止されています。現在では筆者の思想が変化している面もありますので,過去の記事として参考程度にご覧ください。 CSRFおよびその対策の仕組みに関してはこちら↓ これで完璧!今さら振り返る CSRF 対策と同一オリジンポリシーの基礎 - Qiita この記事は,PHPにおけるワンタイムトークンを用いた実装例を示すものです。執筆日が少々古いものになるのでご了承ください。 コメント欄の議論に関するまとめ 以下,XSS脆弱性が存在しない前提.この脆弱性があるとあらゆるCSRF対策がほとんど意味をなさなくなるので,まずここから潰しておくこと. セッション固定攻撃に対する対策 ログイン後にsession_regenerate_idを必ず実行する. ログアウト後にsession_destroyを必ず実行する. CSRF攻撃に対する対策 セッションIDを抜か
Blogger
Google のウェブログ公開ツールを使って、テキスト、写真、動画を共有できます。
EngineeringNew GitHub Pages domain: github.ioBeginning today, all GitHub Pages sites are moving to a new, dedicated domain: github.io. This is a security measure aimed at removing potential vectors for cross domain attacks targeting the… Beginning today, all GitHub Pages sites are moving to a new, dedicated domain: github.io. This is a security measure aimed at removing potential vectors for cross
はてなではサービス全体で共通のログイン cookie を発行し、各種サービスの設定・編集やプライベートモードの閲覧、ログインコメントなどをパスワード入力なしで利用できるよう設計されています。そのため、*.hatena.ne.jp 内で任意の JavaScript が利用可能な場合、悪意あるユーザは他ユーザの cookie を取得してなりすまし、パスワードの入力が必要な退会・個人情報管理・ポイント操作を除く全ての操作を実行できます。 はてなダイアリーで JavaScript の自由な利用が制限されているのは、この危険に対処するためです。各種 SNS でユーザの自由なスクリプト利用が認められない理由も同様です。ログイン情報をユーザが保持していることを前提に設計されたサービスでは、避けられない問題なのです。 こうした事情は一般のユーザには理解されにくい(私も satoshii さんのご教示を受け
※ src: 画像の場所を指定する属性。相対パスではなくURLで書けば、他のドメインにある画像を表示することも可能。つまりURLに対してGETリクエストを行う(閲覧者に行わせる)お手軽な手段とも言え、これを用いてなんらかの攻撃が行われることもしばしば。 まとめ このように、imgタグなどによって、閲覧者のブラウザからどこかのURLへ任意のリクエストを「送らせる」ことは簡単にできてしまいます。しかも、それで発生するリクエストは、閲覧者自身がリンクをクリックしたときとなんら変わりはありません。では、これを攻撃として用いられた場合(つまりCSRF)、Webプログラム側ではどのように防げばよいのでしょう。 きっとまっさきに思いつくのは、「POSTリクエストを使うようにする」、あるいは「リファラヘッダ(リンク元が記載されているヘッダ行)のチェックを行う」などでしょうか。しかしそれだけでは不
先日KULINEがアップデートされたというので使ってみようということで適当なキーワードで検索してみたのだけれど、 こんなページに飛ばされて、初日だからアクセス急増とかでぶっ壊れたのかと思って色々調べてみたらリファラを同一ドメインから送信しないと検索できないっぽくて、なんで検索でリファラ見てんだよと思って問い合わせてみた。 そうしたら「画面遷移してからAPIをPOSTで叩いて検索結果取得してるしCSRF対策でやってるから」という旨の回答が来て、検索するのにCSRF対策とかいらないだろうと、百歩譲っているとしても必須のヘッダじゃないリファラチェックするとか火星に探査機が行く時代にしていいことじゃないだろという旨折り返したら、「開発元(富士通らしい)に聞いたら内部のAPI的な物は全部POSTで、検索するのにCSRF対策必要ないっちゃないけど今後の実装漏れあると困るし一括でリファラもチェックするよ
SameSite cookie recipes Stay organized with collections Save and categorize content based on your preferences. Chrome, Firefox, Edge, and others are changing their default behavior in line with the IETF proposal, Incrementally Better Cookies so that: Cookies without a SameSite attribute are treated as SameSite=Lax, meaning the default behavior is to restrict cookies to first party contexts only. C
(つかいかた) 1. 適当にrequireする。 require 'easy_csrf.php'; 2. 適当にsession_start()しておく。 session_start(); 3. (HTML) submitの手前に次の一文をいれる <input type="hidden" name="<?= EasyCSRF::KEY_NAME ?>" value="<?= EasyCSRF::generate() ?>" /> 4. データを受け取る箇所で次のようにする if (! EasyCSRF::check($_POST[EasyCSRF::KEY_NAME])) { echo '送信されたデータが、なんかおかしいです'; die(); } コード (こぴぺして使おう!) <?php // easy_csrf.php // by Hamachiya2 // 2012.02.15 cl
Update - June 19, 2016: A lot of people have been suggesting the same "solutions" to the problems below, but none of them are practical. I've published a new post with a slightly sarcastic flowchart - please have a look at it before suggesting a solution. Unfortunately, lately I've seen more and more people recommending to use JWT (JSON Web Tokens) for managing user sessions in their web applicati
はてなで稼ごう!!! - ぼくはまちちゃん!
と思います! ブログで稼ぐ方法といえば…! やっぱり、まっさきに思いつくのは、 他人のアフィリエイト書き換えですよね! だから、この日記を見たひとは 「はてなアフィリエイト設定」なんて絶対確認しないでね! 絶対だよ!!! (追記) 22:36 あれ? できなくなったかも? (追記) 00:25 わああ → http://www.hatena.ne.jp/maintenance#m598 (追記) まちがえて ID を「こんにちはこんにちは!!」に書き換えてたから 1円も稼げませんでした><
徳丸さんのブログに対するコメント
(Last Updated On: 2018年8月4日)最初、書いた時はユーザーが一人だけと頭にあったので思いっきり誤解していました。確かに複数ユーザーの場合は真正性に問題があります。修正版の差分をアーカイブを更新しておきました。 本題のブログはこちらです。 書籍『Webアプリケーションセキュリティ対策入門』のCSRF脆弱性 トークンの有効範囲は? トークンがDBに保存される場合、トークンの有効範囲が気になるところです。大垣本および第二版のソースを見ると、トークンを保存するテーブルの定義は以下の通りです。 CREATE TABLE form_id (sha1 TEXT PRIMARY KEY, created TEXT NOT NULL) sha1がトークン、createdが生成日時を保持します。 シンプルな構造ですが、これだとトークンは、ユーザーやセッションを超えて、アプリケーション全体
なりすまし犯行予告が話題になっています。現在問題になっているものは、マルウェアが使われているようですが、それ以外に、無線LANの乗っ取りや、Webアプリケーションの脆弱性悪用などの手法があります。NHKの報道では、クロスサイトリクエストフォージェリ(CSRF)脆弱性が、過去に悪用された事例が紹介されています(ただしmixiの例と思われます)。 また、3つ目として、利用者からの投稿を受け付ける掲示板側にセキュリティー上の欠陥があった場合、利用者がウイルスに感染しなくても、書き込みをされるおそれがあります。 このうち、CSRF=クロスサイトリクエストフォージェリと呼ばれる攻撃手法では、利用者に攻撃者が用意したホームページのリンクをクリックさせただけで、別の掲示板に文章を投稿させることが可能だということです。 この場合、利用者はクリックしただけなので、文章を投稿したことにはほとんど気付かないとい
自己紹介 opengl-8080 主に Qiita で技術メモを書いたり 関西の SIer 勤務 今日お話しすること 簡単な Hello World を通じて、 Spring Security の仕組みの基礎的な部分を説明 どのようなクラスが、どのように連携しあっているのか 設定ファイルがどのように関係しているのか 背景 個人的に Spring Security の勉強を開始 ちょっと Hello World を書こうとしたが手こずる この設定はなんで必要? ・・・と書くとなぜ~~~が有効に? この設定って最小限の Hello World で必要? 抽象化された設定 Spring Security の設定は高度に抽象化されている 設定が簡潔になる一方で、裏で何が行われているかが分かりづらい 仕組みの理解や、カスタマイズがしづらくなる ※個人の所感です 対象者 Hello World を通じ
2007/08/25に行われた、第一回 Port801 セキュリティ勉強会の様子 Hamachiya2 - その1 (http編)
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
本資料は、Web アプリケーションにおける脆弱性のひとつ、CSRF (クロスサイトリクエストフォージェリ) の仕組みとその対策に関する説明資料です。 また、CSRF 対策のためのライブラリのいくつかについて、その概要と適用例も紹介しています。 Webアプリケーションを作成する開発者の方々が、CSRF 脆弱性に対する理解を深め、よりセキュアなWebアプリケーションの開発の一助となれば幸いです。 自習用の資料や勉強会での資料としてご活用ください。 2015 公開日 タイトル PDF
第3回Webセキュリティのおさらい その3 CSRF・オープンリダイレクト・クリックジャッキング はせがわようすけ 2016-07-13
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
formタグを利用したtoken奪取 - ma<s>atokinugawa's blog
このWeb APIってCSRF対策出来てますか?って質問にこたえよう - Qiita
JVNVU#94916481: HTTPS レスポンスから暗号化されたデータの一部を推測可能な脆弱性 (BREACH)
JavaScript だけでクロスドメインで POST メソッドを送る方法
PHP+JavaScriptでクロスオリジンなシングルサインオン認証 - Qiita
http://www.machu.jp/posts/20080101/p01/
hxxk.jp - mixi の情報を常に持ち歩いていると、うっかり見られたり盗まれたり落としたりするという話
「Aterm」のルーター設定画面にCSRFの脆弱性、ファームアップデートなどを
高木浩光@自宅の日記 - 暗黙的に形成する事実標準の話と回避策の話を混同してはいけない
XMLHttpProxy - ゆーたんのつぶやき
遠隔操作ウイルスによる連続威力業務妨害等事件 :警視庁
New GitHub Pages domain: github.io
ブログサービスの設計思想とユーザ側の制約
第2回 しーさーふって何ですか? | gihyo.jp
KULINEのアップデートの件
SameSite cookie recipes | Articles | web.dev
Easy CSRF Key - PHPでお手軽にCSRF対策するやつ
Stop using JWT for sessions - joepie91's Ramblings
なりすまし犯行予告に悪用可能なWebアプリケーション脆弱性
Hello World で学ぶ Spring Security の仕組み - Qiita
Port801 セキュリティ勉強会 - Hamachiya2 その1 (http編)
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
クロスサイトリクエストフォージェリ(CSRF)とその対策
JavaScriptセキュリティの基礎知識 記事一覧 | gihyo.jp