PHPにおけるHTTPヘッダインジェクションはまだしぶとく生き残る | 徳丸浩の日記

2015/12/03 59 users 徳丸浩 PHP LWS 日記 header関数

この記事はPHPアドベントカレンダー2015の3日目の記事です 。 MBSD寺田さんの記事「LWSとHTTPヘッダインジェクション」では、PHPのheader関数に関連して、PHP側のHTTPヘッダインジェクション対策を回避する手法と、それに対するPHP側の対応について書かれています。この記事では、寺田さんの記事を受けて、現在でもHTTPヘッダインジェクション攻撃が可能なPHP環境が残っているかを... 続きを読む

HTTPSを使ってもCookieの改変は防げないことを実験で試してみた | 徳丸浩の日記

2013/09/30 719 users https 徳丸浩 盗聴 エントリ 改変

2013年9月30日月曜日 HTTPSを使ってもCookieの改変は防げないことを実験で試してみた 寺田さんのブログエントリ「他人のCookieを操作する」には、通信路上の攻撃者がいる場合は、SSLを使っても、Cookieの盗聴を防ぐことはできるが、Cookieの改変を防ぐことはできないと指摘されています。いかにも寺田さんらしい簡にして要を得たエントリで、これに付け加えることはあまりないのですが、... 続きを読む