■CSRF - クロスサイトリクエストフォージェリ CSRF - クロスサイトリクエストフォージェリ SpecIII - CSRF - クロスサイトリクエストフォージェリから引用させて頂きます。 CSRFの概略 CSRFはCross Site Request Forgeriesの略です。恥ずかしながら私は最近こういったこういった攻撃方法があることを知りました。日頃のアンテナの低さがバレますね。 CSRFはサイトに対する正規のユーザーの権限を利用した攻撃です。あるサイトのある処理を行うページに正規のユーザーを誘導し、強制的に望まない処理を発生させます。 具体的には記事の編集や削除といった機能を持つページのURLをダミーのリンクに埋め込んで踏ませたり、imgタグのsrcとして指定して知らず知らずのうちにアクセスさせます。特に後者の例ではユーザーが全く気がつかぬうちに攻撃が完了します。攻撃の結果
某インターンのメンターをしながら, メンターたちと空いてる時間を使ってネイティブアプリを書いていた. その時バックエンドをRailsで書いて思ったことを夏休みの感想文としてまとめてみた. ライブラリの選定 Grape RailsでAPIといえば, Grapeというライブラリが有名だけど, 特にRailsのデフォルトのコントローラで困ることが少なかったのと, Railsとの記法の違いっぽいところがあって, 導入しなかった. ただいま考えてみれば, パラメータのバリデーションや, (どう管理するのかしらんけど)Cookieをサポートしていたり, エラーハンドリングもいい感じだし, 導入してみたら楽だったかもしれない. 各アクションにdescを書いておけば, ドキュメントの自動生成とかできたりするし. 実はとても便利かもしれない.(反省終わり) Rabl GrapeのかわりにRablというJSO
ScalaMatsuri 2019 登壇資料(日本語)
WEB開発で必ずついて回るのが、Submitボタン二度押しや戻るボタンを押されるなど、勝手な画面遷移をされないような配慮です。Strutsでは同期トークンという機能でこれらの考慮をサポートしてくれます。 実際にサンプルで、ある画面でSubmitを二度押ししたとき、それを検知して二つ目のリクエストをエラーではじくという事を考えてみます。 同期トークンとは † 同期トークンの機能とは以下の通りです。 あるアクションで、サーバ上でユニークなID(以下、トークン)を生成し、返却するhtmlにhidden等で仕込んでおく そのアクションで、トークンはSessionにも格納しておく 次のリクエストにはhidden内のトークンが飛んでくる 次のアクションで、hiddenパラメタ内のトークンとSessionのトークンが等しいことを確認する 等しければ、正しいリクエストということで処理する。Session内
Amon2 での実装例です。 使用感としては、 実装はそれほどむずかしくないトークンの保存をサーバー側でやらなくていいので楽といったかんじ。 管理画面とかでつかってみたらよいかもしれぬ。 use strict; use warnings; use utf8; use File::Spec; use File::Basename; use lib File::Spec->catdir(dirname(__FILE__), 'extlib', 'lib', 'perl5'); use lib File::Spec->catdir(dirname(__FILE__), 'lib'); use Amon2::Lite; { package Amon2::Plugin::Web::Hsegawa; use constant { REDIRECT => 10001, VALIDATION_ERROR
speciii.com
This domain is expired. If you are the domain owner please click here to renew it. speciii.com 2018 Copyright. All Rights Reserved. The Sponsored Listings displayed above are served automatically by a third party. Neither the service provider nor the domain owner maintain any relationship with the advertisers. In case of trademark issues please contact the domain owner directly (contact informatio
Tweetviteを利用したspamに使えそうな何か
http://tweetvite.com/event/mfpcnight/rsvp/N のようなURLを踏むと、半自動的/勝手に参加登録されてしまうようだ。 末尾の1文字がMならMaybe NならNo 試してないけど多分YならYesに勝手に登録される。 続きを読む
Cross-Site Request Forgery(クロスサイトリクエストフォジェリー)って何? 頭文字をとって「CSRF」ですが、出来るだけ平たく説明すると 「悪いヤツが作ったサイトから読み込んだHTMLやらスクリプトが、勝手に別のサイトにHTTP POSTのリクエストを送信して、知らない間にそのサイトにある自分のデータなどを変更される」 といった感じになるかな。 データの中には重要なデータもあるでしょう。Amazonで欲しい物リストがあったとして、それが全部勝手に「購入」されたら困りますよね。銀行の口座から別の口座にお金が入金されても困ります。(もちろん、Amazonや銀行のサイトなどではCSRF対策がしっかりと施されているでしょうから、大丈夫!・・っであることを祈る) Cross-site とは二つのウェブサイトを跨いでること。サイトのひとつは当然「悪いヤツのサイト」でもうひとつは
不正操作?履歴、逮捕後認識も放置…神奈川県警 | 2012-10-21 - 弁護士 落合洋司 (東京弁護士会) の 「日々是好日」
http://www.yomiuri.co.jp/national/news/20121021-OYT1T00197.htm?from=main3 驚くべき事実が明らかになっていますね。 県警幹部によると、少年のパソコンは6月29日午後3時17分、インターネット掲示板に貼り付けられていたURL(ネット上の住所)をクリック。その後、第三者が設けたとみられるサイトに自動的に移動し、数秒の間に複数のサイトに連続してアクセス。横浜市のHPにアクセスしてからは2秒間で小学校襲撃予告の書き込みを終えていた。 幹部らによると、保土ヶ谷署生活安全課と捜査協力をした県警サイバー犯罪対策センターでは、少年を7月1日に逮捕した直後から、こうした不自然な通信履歴に気づき、同センターが詳しく解析。同9日までに、「わずか2秒間で書き込むことは人の手では不可能」として、第三者が関与した可能性について把握し、その見解を同
この記事は、先日の記事「問題:CSRFの防止策に関するチートシートにツッコミを入れる」に対する解答編です。まだ問題を見ていない方は、先に問題を読んで(できれば自分で解答を考えて)からこの記事をお読みいただくとよいと思います。 それでは、解答を説明します。 設問: チートシート旧版の翻訳であるJPCERT/CC訳(以下の引用部分)を元に以下の設問に答えよ。 引用(再掲) Cookie の二重送信 Cookie の二重送信は、Cookie およびリクエストパラメーターの双方でランダムな値を送信し、サーバー側で Cookie の値とリクエストの値が等しいかどうか検証する手法です。 ユーザーがサイトにログイン するとき、サイトは暗号強度の高い疑似ランダム値を生成し、その値を Cookie としてユーザーのマシンに、セッション ID とは別に送ります 。どんな形であれ、サイトはこの値を保存しておく必
ついったー足あと帳 このサイトを一昨日とかに見てびっくりした人も多いと思うんだけどcrossdomain.xmlの設定をあやふやにしておくと、ユーザーのセキュリティもあやふやになっちゃうんで、そこはWebサービスとしてはまずいよね?っていう話が話題。 Twitter の crossdomain.xml 問題について。 - てっく煮ブログ crossdomain.xml と CSRF 脆弱性について - 川o・-・)<2nd life だけども、てっく煮の中の人が言うように このような「取得」のゆるさが理由で、Twitter API を活用したサービスを作る人が多発して、それがまた Twitter の人気を押し上げたのは事実。 という具合に、Webサービスのcrossdomain.xmlを全部厳しく(もしくはそもそも置かない)すればそれでいいかっていうと、それだとユーザーの自発的なサービスを
Jerseyのバージョン1.9.1で追加されたCSRFをステートレスに防ぐフィルタが興味深かったので、そのメモです。 CSRF対策の手法 通常、CSRF攻撃を防ぐにはトークンを使う方法があります。サーバがクライアントにトークンを発行して、クライアントは発行されたトークンをクエリパラメータなどの形でリクエストに付与します。サーバはトークンが付与されていないリクエストを実行しません。攻撃者は発行されたトークンを知らないため、リクエストを実行できないという寸法です。 CSRF対策とステート ただし、この方法ではトークンの取得〜リクエストの発行にステートができるため、WebAPIがステートフルになってしまうという問題があります。RESTベースのWebAPIはやはりステートレスに作りたいところです。 そこで、JerseyのCSRF対策フィルタはステートレスになるよう作られています。 JerseyのC
で、はてなブックマークの機能のひとつ「お気に入り」なんだけど、 これって他の人のブックマークを登録できちゃう機能なわけだよね! 自分のブックマークを何人のひとがお気に入りに登録しているのかも、ちゃんと表示される…と。 なるほど! それを増やす方法を考えてみました! といっても mixi足あとちょうと同じなんだけど…! きみのサイトに下のコードを貼り付けるだけだよ! <img src="http://b.hatena.ne.jp/きみのID/favorite?mode=add&name=きみのID" width="1" height="1"> もちろんlinkタグとかscriptタグとかcssのurl()で読み込んじゃっても大丈夫だと思う! 実際に動作するか、ためしてみたいひとは、はてなにログインした状態で↓のリンクをクリック! 勝手にはてなブックマークのお気に入りに追加しちゃうページ でも
Turbolinksを調べてみた
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Intro Referrer-Policy は、送信される Referer の値を制御することが可能だ。 このヘッダの副次的な効果をよく理解していないと、「no-referrer にして送らないのが最も安全だ」という誤解を生むことになる。 では、複数あるポリシーの中でどのような観点で、どのディレクティブを採用するのが良いのだろうか? 前提として前回の記事の「リクエストの出自をチェックすることは現代の実装のベースプラクティスである」という点を踏まえて考えてみる。 令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io https://blog.jxck.io/entries/2024-04-26/csrf.html Referer とアナリティクス Referer は、リクエストに対してその前のページの URL を送るところから始まった。 GET / H
CSRF(Cross Site Request Forgeries)は数年前にその危険性が広く認知された攻撃手法です。Webページを見ただけで、普段自分が利用しているログインが必要なサイトに意図しないリクエストが送信されたりする問題です。 CSRFの動作原理 CSRFは攻撃用の情報を含んだWebページやEメールを利用して攻撃します。被害者が攻撃用のページを表示したり、URLをクリックすると、攻撃対象のWebサイトに利用者が意図していないリクエストを送信します。 図1 CSRF攻撃 CSRFによる不正なリクエストは被害者からリクエストなので、ログインが必要なサイトであっても既にユーザがログイン済みの場合、正規のユーザからのリクエストとして攻撃対象のWebサーバはリクエストを受け付けてしまいます。 ログインが必要ない公開サイトであっても、問い合わせフォームから大量の不正な情報が登録される、など
昨年、「iモードID」の送出が開始されたことにより、「iモードID」のみでユーザ認証を行う携帯サイトが増えてきました。 そして、それら携帯サイトの中に、iモードIDハイジャック(悪意もった第三者による乗っ取り操作)の被害を受けると思われるサイトが、多数散見されます。 被害を受けるサイトの条件 ユーザ認証を「iモードID」のみで行っている。 FORMの入力内容をPOSTメソッドで送信しているものの、受け取り側でリクエストメソッドのチェックを行っていない。もしくは、GETメソッドで送信している。 iモードIDハイジャックの方法 以下のような形で登録処理を行っている攻撃対象サイト(targetdomain.com)を探す。 [http://targetdomain.com/form.php] <html> 会員登録開始<br> IDとパスワードとメアドを入力してください<br> <form me
■ [Security] えび日記: CSRFの説明に追記 (4/2、この項に別記事で追記。) ええと、この議論はずっと続いていますね。こういう時間かかる話はできれば年度明けてからやろうよ(笑)。 ※ちなみに「CSSXSS」と呼ばれている問題の本質は「クロスドメインで任意の HTML の内容が読み取れてしまう」という点です。これは XSS とはあまり関係ありませんし、ある意味 XSS よりも危険です。その呼称は誤解を招くと個人的には思っています。 (「えび日記」より引用) この脆弱性の存在を根拠に「いわゆる高木方式は良くない、安全な他の方式にすべきである」という議論がよくあります。 いつも反論してるのですが、割と議論が噛み合わないのは、ひょっとしたら僕が「いや、高木方式で安全なんだ」と 主張しているように思われているのかなぁ、とふと感じました。 実はそうじゃないんですよね。僕の主張は、「い
_ CSRF対策 0.13.0にもCSRF対策のコードはとくにないようだ。 MLの議論を追ってなかったのだが、結局アプリケーション側で対策する べしということだろうか。 まず、ApplicationControllerとApplicationHelperに以下のような記述をしておく。 app/controller/application.rb: class ApplicationController < ActionController::Base private def validate_session if @params[:session_id_validation] == @session.session_id return true else render(:text => SESSION_VALIDATION_FAILED_HTML, :status => "403 Forbi
■IE:新手法CSSXSS、Google Desktopの情報が盗まれる恐れ…というかGoogleばかりでないです、ヤバイのは、こりゃ参りましたね。 2006-01-30 追記:2006年01月20日付けで以下の状態です。マイクロソフト社からの言明です。 有用な情報を適切な方法でご連絡いただき大変感謝いたしておりますが、Web サイト側での対応が困難である事が判明し、また、Internet Explorer の脆弱性が近々対応できる見込みであるため、Internet Explorer の修正により、この問題に対応する方向で作業を進めております。 (snip) また、この問題の根幹となります Internet Explorer の脆弱性については、現在鋭意対応中でございますが、こちらのリリース時期につきましては、詳細をお伝えすることができません。 誠に申し訳ございませんが、何卒ご理解とお客様
はまちや2 on Twitter: "「ほまちや」の名前でぼくの何かを模倣したものが出回ってるみたい。 url踏むと何かを勝手に追記するのではなくて、元々のプロフとかを消去して書き換え感染していくたぐい。怖いね。通報しとこっと"
「ほまちや」の名前でぼくの何かを模倣したものが出回ってるみたい。 url踏むと何かを勝手に追記するのではなくて、元々のプロフとかを消去して書き換え感染していくたぐい。怖いね。通報しとこっと
IBM Developer
IBM Developer is your one-stop location for getting hands-on training and learning in-demand skills on relevant technologies such as generative AI, data science, AI, and open source.
セキュリティ脆弱性診断などでたまに CSRF について指摘されることがあります。 今まではトークン発行して対応すれば良いんでしょ? と思ってましたが、SPA のように非同期通信が前提の場合はどう対処するべきなんだろう、と疑問が出たりしたので、調べてみた結果をまとめてみました。 CSRFとは Cross Site Request Forgeries(クロスサイトリクエストフォージェリ)の略で、 サービス利用者の正規権限を利用して、意図しないタイミングでサービスの機能を実行させる攻撃手法のことを指します。 2005年に mixi 日記で発生した「ぼくはまちちゃん」で一躍有名になりました。 大量の「はまちちゃん」を生み出したCSRFの脆弱性とは? - ITmedia エンタープライズ CSRF が発生する原因 サービスの機能を実行するプログラムへのリクエストの検証が権限情報のみであった場合に発生
mala @bulkneets 事実関係も手口も関係なく逮捕していい条件を満たしてない、そもそもCSRF可能なフォームに書きこまれた内容を真に受けるな 2012-08-27 04:17:58
実際には試してないので勘違いかもしれないけど3/9の夕方まで twitter のアカウントが乗っ取り可能だったかもしれない、という話。←特殊なケースを除いて不可能だった模様。追記参照。 「ついったー足あと帳」(http://hamachiya.com/junk/twlog/)でアクセスした人のidと発言ログを抜き出す(protectedでも!)デモをやっていたり、それがきっかけで過去に settings から id とメールアドレスを抜き出す「(元祖)ついったー足あとちょう」があった(昨日までは動作していた)のを見て、ひょっとして、と思って昨夜少し調べてみた。 去年の11月のDK祭り*1の時に、パスワードクラック以外で乗っ取り可能か検討されたことがあった。 twitterの仕様を調査した結果、仮にtwitterにXSS脆弱性などがあり、セッションハイジャックができたとすると、第三者がパスワ
pixivのコメント問題はアカウントハックではなくユーザー達が「とあるサイトを踏んだ」ことによるCSRFらしい - ゴールデンタイムズ
[不具合報告]意図しない作品へのコメントについて http://dev.pixiv.net/archives/1026973.html pixiv事務局です。 このたび、一部ユーザー様の作品へのコメントが改ざんされたとの報告があり、 弊社にて調査をいたしましたところ、 「作品のコメント欄」の脆弱性を利用した不正が行われていた事実が判明いたしました。 本件の詳しい状況につきまして、下記の通りです。 ・経緯 2010年2月5日より2月14日までの間、一部ユーザー様の作品において、 ユーザー様の意図によらないコメントが書き込まれた旨のお問い合わせを頂きました。 お問い合わせをいただいた後、該当する全てのサーバのログ・ 関連データベースを調査しましたところ、問題となったコメントの書き込みの前に、 あるURLへアクセスし、外部サイトを経由をした後にコメントを投稿した形跡を発見
FuelPHPのCSRF対策トークンは何が問題だったのか
田中ひさてる @tanakahisateru 話題のFuelPHPのCSRFの件は https://t.co/e2Wh7p5p あたりかな。 uniqid() がもうすでに時刻に準拠した値なのに time() 付けてもねぇ、このソース公開しちゃってるしねぇということ? 2012-06-06 14:06:50
公開: 2012年2月7日1時35分頃 こんなお話が……「アニメサイト運営でトラブル ウイルス作成罪初適用、男逮捕 (www.itmedia.co.jp)」。 各紙の報道によると、男は「さっさと閉鎖しろ。さもないと、お前の両親を殺して家を燃やす」という文言を自分が運営しているサイトに書き込むプログラムを作成し、あるサイトに埋め込んだ。 男は神奈川県の男性と共同でアニメサイトを運営していたが、運営方法をめぐって男性とトラブルになっていた。男は男性にメールを送り、不正プログラムを埋め込んだサイトに誘導。アクセスした男性が脅迫的な文言を自分のサイトに書き込んだように見せかけた上で、府警に「脅迫された」などと相談していたという。 府警が発信記録などを調べたところ、不正プログラムがサイトに埋め込まれていたことが分かり、犯行が発覚。まず不正プログラムをサイトに埋め込んだ不正指令電磁的記録供用の疑いで2
OAuth2.0 State の役割
はじめに 前回は OAuth2.0 の認可コードグラントフローの I/F についてまとめました。 その中でいきなり登場したStateにフォーカスしてまとめます。 アジェンダ 認可コードグラント(復習) CSRF のための state OAuth2.0 の CSRF(Cross-Stie-Request-forgery) state を使用した認可コードグラントフロー まとめ 認可コードグラント(復習) またか!って思われるかもしれませんが、認可コードフローはフローが長く どこの話してるのかわかりにくいので、書いています。 (毎回すこしづつ改修してるので更に見やすくなっている...はず...) CSRF 対策のための State RFC6749の state の説明にはっきりと CSRF 対策のために導入すべき、と記載されています。 The parameter SHOULD be used
New community features for Google Chat and an update on Currents
Join the official community for Google Workspace administrators In the Google Cloud Community, connect with Googlers and other Google Workspace admins like yourself. Participate in product discussions, check out the Community Articles, and learn tips and tricks that will make your work and life easier. Be the first to know what's happening with Google Workspace. ______________ Learn about more Goo
監視用ウェブカメラ:普及の陰で、「覗き見」やハッキングも 2007年10月 4日 IT コメント: トラックバック (0) Ryan Singel 2007年10月04日 この20年の間に、銀行強盗がテーマのハリウッド映画を見たことがある人にとっては、監視カメラの映像を差し替えて警備員を欺く手法はもうおなじみだろう。 技術に明るい犯罪者は、監視カメラシステムのライブ映像を偽の映像に切り替えて、哀れな警備員が何事も起こらないループ映像を見続けている間に、銀行の金庫を空っぽにしてしまうのだ。 最近、ホワイトハット(善玉)・ハッカーらが、この映像差し替えを巧みに行なうテクニックを実証した。 ロンドンに拠点を置くセキュリティー企業ProCheckUp社の調査員であるAmir Azam氏とAdrian Pastor氏は、スウェーデンAxis Communications社製の監視カメラ『AXIS 2
symfony1.2のCSRF対策について
$ symfony generate:app --escaping-strategy=on --csrf-secret=myUniqueSecret frontend 通常symfonyコマンドのgenerate:appタスクを用いてアプリケーションのスケルトンを生成しますが、タスク実行時にcsrf-secretというオプションを指定します。最初の説明でトークンを埋め込むと説明しましたが、このトークンを生成するときのソルト値として使用する値を指定します。上記の例ではmyUniqueSecretがソルト値になります。 実際にcsrf-secretというオプションを指定してアプリケーションを生成した場合、アプリケーションのconfigディレクトリ内にあるsettings.ymlという設定ファイルの内容が変化します。 allのcsrf_secretという項目に、先ほどのcsrf-secretオプ
危険なのかよくわかんないですけど、はてダ初め書きます http://ido.nu/ayaya/yj.html(対策されてた!) iframe 内で http://login.yahoo.co.jp/config/login に logout=1 を POST して強制的にログアウト状態にする ログインフォームの form タグ部分をスクレイピングし、あらかじめ用意しておいた Yahoo! JAPAN ID とパスワードを埋め込む その HTML を iframe にロードし、submit() で POST させることにより、用意しておいたアカウントでログインさせる メールで「住所情報を更新しないとアカウントが消えます」とか書いて誘導したら、どのくらい釣れるかなあ あーあと、個人情報の入力だけじゃなくて、OAuth の認可とか権限を与える操作もまずい ページは SSL になっていて、アドレス
The Nobel prize-winning author Doris Lessing has described the September 11 attacks as "neither as extraordinary nor as terrible" as people thought. The 88-year-old, who won the Nobel for literature this month, said some in the US would think she was "crazy", but that the attacks needed to be looked at in the context of the IRA's campaign of terror in the UK. "September 11 was terrible, but if one
最終更新日: Wednesday, 29-Nov-2006 03:22:38 JST これはオリジナルの文章に水無月ばけらさんの鳩丸ぐろっさりを初めとする用語解説へのリンクと何故そのAAを使っているのかの簡単な説明を加えた物です。 Webバグ CSRF (Cross Site Request Forgeries) DoS (サービス拒否) サニタイズ オレオレ証明書 Cookie Monster SQL インジェクション HTTP Response Splitting (レスポンス分割) HTTPのページのフレームにHTTPSのページを表示 バッファオーバーフロー フィッシング Forceful Browsing (強制ブラウズ) クロスサイトスクリプティング ゼロデイ(0day)攻撃 ディレクトリトラバーサル セッションハイジャック 権限昇格 OS
<前回のお話> IMGタグが付いていても、それが本当に画像なのかはリクエストしてみないとわからない。巧みに「誰かにリクエストさせる」のがCSRFの手口だと知ったわかばちゃん。じゃあ、ブログサイトやSNSはどんな対策をしているの…?はまちちゃんによる前回までの説明からはじまりはじまり!
Web Application Development - SitePen Ajax JavaScriptアプリケーションの普及にともない開発者には特にAjax関連のセキュリティへの理解が求められている。そこでSitePenにおいて公開されている文書Security in Ajaxに注目したい。Kris Zyp氏によって執筆されたドキュメントで、Ajax JavaScriptアプリケーションにおけるセキュリティがまとめられている。次の内容がまとめられており、Webアプリケーション開発や保守における資料として活用できる。 クライアント(ブラウザ)からのアクセスに対してどうやってサーバリソースを保護するか ほかのサイトからのサーバへのアクセスをどうやって許可するか クロスサイトWebサービスからどうやってウェブページを保護するか JSONハイジャックにどう対処するか Kris Zyp氏はまずW
Node.js Security Checklist - RisingStack Engineering
Join 150K+ monthly readers. In-depth articles on Node.js, Microservices, Kubernetes and DevOps. Security – the elephant in the room. Everyone agrees that it is very important but few takes it seriously. We at RisingStack want you to do it right – this is why we have put together this checklist to help you guide through the must have security checks before your application is enabled to thousands o
2013年11月18日から11月21日の4日間にわたり、アメリカ合衆国ニューヨークでWebアプリケーションのセキュリティに関する国際的なカンファレンスである「OWASP AppSec USA 2013」が開催されました。 世界各国から開発者・研究者が一堂に会するこの一大イベントに参加してきましたので、その模様を報告します。 Webアプリセキュリティにまつわるあらゆる話題を扱う「OWASP」 OWASP(Open Web Application Security Project)は、WebアプリケーションおよびWebサービスのセキュリティ向上を目的とした、ボランティアによるプロジェクトです。 今回参加した「AppSec」をはじめとするカンファレンスの開催による知識の展開やトレーニングを通じた開発者のスキル向上の他、開発者向けガイドラインの作成、テストツールの開発・公開などを行っています。ツー
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
CSRF - クロスサイトリクエストフォージェリ
RailsでAPIを書いたときの雑な感想 | Yucchiy's Note
コードで理解するPlayframeworkの脆弱性
Struts/同期トークンで二度押しなどをチェックする - きのさいと
Hasegawa方式の CSRF対策を試してみた - tokuhirom's blog
RESTFulなAPIとCSRFとその対策 - シアトル生活はじめました
解答:CSRFの防止策に関するチートシートにツッコミを入れる
crossdomain.xmlの脆弱性の話が人気だけど、簡単に解説するよ!:しっぽのブログ
WebAPIのステートレスなCSRF対策 - あめだま
被お気に入り数を増やす / はてなの誰が見にきたかを知る :: ぼくはまちちゃん!
Referrer-Policy の制限を強めると安全になるという誤解 | blog.jxck.io
第23回 まだまだ残っているCSRF攻撃 :なぜPHPアプリにセキュリティホールが多いのか?|gihyo.jp … 技術評論社
ドコモはiモードIDの生成方法を見直すべきだ « mpw.jp管理人のBlog
えび日記: CSRFの説明に追記 - こめんと (2006-03-30)
CSRF対策, Login GeneratorのSession Fixation Attack対策, クッキーのパス, セッションファイルの作成場所 - Journal InTime(2005-07-15)
Google Desktopの情報が盗まれる恐れ…というかGoogleばかりでないです
Web API の CSRF 対策まとめ【追記あり】 - Qiita
アニメ演出家、誤認逮捕か?大阪市のHPのセキュリティでは誰でも勝手に殺人予告が送られる可能性がある
twitter のアカウント乗っ取りが可能だったかもしれない件 - 児童小銃
“脆弱性体験”は本物だった? IPAの脆弱性体験学習ツール「AppGoat」に4件の脆弱性
CSRFで逮捕者が出たらしい話 | 水無月ばけらのえび日記
監視用ウェブカメラ:普及の陰で、「覗き見」やハッキングも | WIRED VISION
ログイン機能へのCSRFによるセッション固定 - 知らないけどきっとそう。
はてなブックマーク - 上 方 - 痩せ我慢をいなす文化 / 検索結果("の"なし、"ト"なし)
AAで図解!ずばり一目で全く解らないコンピュータセキュリティ(解説付き)
第3回 CSRFの対策法ってどんなもの? | gihyo.jp
Ajaxにおけるセキュリティ: 明示的トークン検証手法 | エンタープライズ | マイコミジャーナル
深刻な「ブラインドSQLインジェクション」の脅威