推し活の ハイトラフィックに立ち向かう Railsとアーキテクチャ - Kaigi on Rails 2024

2024/10/26 8 users Rails アーキテクチャ Kaigi on Rails

Kaigi on Rails 2024 - Rails APIモードのためのシンプルで効果的なCSRF対策 / kaigionrails-2024-csrf 続きを読む

LaravelはどのようにCSRF対策をしているのか？

2024/10/19 112 users Laravel BLADE CSRF Form 呪文

誰しもLaravelのbladeでformを書くにあたって、@csrfという魔法の呪文を書いたことがあるかと思います。 「これを書いておけばCSRF対策はOK」 ドキュメントにも要約するとそういう旨が書いてあります。 この記事では@csrfについてLaravelの実装を実際に見てみることで、CSRFとその対策への理解を深めたいと思います。 ち... 続きを読む

CSRF対策のやり方、そろそろアップデートしませんか / Update your knowledge of CSRF protection

2024/03/09 412 users protection アップ やり方

PHPerKaigi 2024 • Day 1での登壇資料です。 https://phperkaigi.jp/2024/ https://fortee.jp/phperkaigi-2024/proposal/0d0f8507-0a53-46f6-bca6-23386d78f17f 続きを読む

SameSite属性とCSRFとHSTS - Cookieの基礎知識からブラウザごとのエッジケースまでおさらいする - Flatt Security Blog

2024/01/31 110 users okazu_dm CSRF HSTS 文脈 挙動

こんにちは、 @okazu_dm です。 この記事は、CookieのSameSite属性についての解説と、その中でも例外的な挙動についての解説記事です。 サードパーティCookieやCSRF対策の文脈でCookieのSameSite属性に関してはご存知の方も多いと思います。本記事でCookieの基礎から最近のブラウザ上でのSameSite属性の扱いについて触れ... 続きを読む

PHPサーバーサイドプログラミングパーフェクトマスターのCSRF対策に脆弱性 | 徳丸浩の日記

2019/07/29 217 users 徳丸浩 CSRF 脆弱性 アルゴリズム 日記

サマリPHPサーバーサイドプログラミングパーフェクトマスターには、PHP入門書としては珍しくクロスサイト・リクエストフォージェリ(CSRF)対策についての説明があるが、その方法には問題がある。アルゴリズムとして問題があることに加えて、実装上の問題があり、そのままコピペして用いると脆弱性となる。 はじめに古庄親... 続きを読む

問題：間違ったCSRF対策～中級編～ | 徳丸浩の日記

2018/11/12 72 users 徳丸浩 後日 初級編 前回 ツイート

この記事は「問題：間違ったCSRF対策～初級編～」の続編です。前回同様、この記事では問題のみを出し、想定解答は後日公開することにします。ネタバレとなるブックマークコメントやツイートなどは控えていただけると幸いです（「思いのほか簡単だった」など感想は可）。ブログ記事等に解説記事を書くことは歓迎いたしま... 続きを読む

FuelPHP ◇ CSRF対策を行う - ken_effcの開発メモ

2015/01/07 40 users FuelPHP Hidden true false 手動

2014-05-27 FuelPHP ◇ CSRF対策を行う FuelPHP FuelPHP 1.7 1.config.phpの設定 csrf_autoload : trueにすると自動でチェックを行う。ほとんどの場合、手動でチェックを行うのでfalseにしておく csrf_token_key ： hiddenにセットされるcsrfチェック値のキー csrf_expiration ： csrfクッ... 続きを読む

RailsのCSRF対策の仕組みについて - Programming log - Shindo200

2014/08/31 220 users Rails Programming log エラー ブログ

2014-08-31 RailsのCSRF対策の仕組みについて Rails CSRF 先日、Rails で開発しているときに意図しない InvalidAuthenticityToken エラーが発生して、すごくハマってしまいました。そのときに Rails のCSRF対策の仕組みについていろいろと調べましたので、ブログに残しておきます。 Rails のCSRF対策 Rails が生成した Appli... 続きを読む

node.JsにおけるCSRF対策 ｜ Developers.IO

2014/07/31 65 users node.js Developers.IO

はじめに 現在参画中の案件ではNode.js + Expressを用いた開発を行っています。 開発を行っているのはWebアプリのため、当然セキュリティ対策も必要になってきます。 今回は、CSRF(クロスサイトリクエストフォージェリ）対策として、 ミドルウェアであるcsurfを検証しました。 CSRF(クロスサイトリクエストフォージェリ）とは Webサイトにスクリプトや自動転送(HTTPリダイレクト... 続きを読む

おそらくはそれさえも平凡な日々: CSRFDefender的なやつでコンテンツフィルタはしないほうがいいんじゃないかという話

2013/05/14 12 users Hidden 組長 Form Plugin 結論

本日の組長のお話。 Ark::Plugin::CSRFDfenderに機能追加したりいろいろバグっていたりしたのに手を入れていたのだが、それに対して組長に意見を頂いた話。結論はタイトルの通り。 CSRF対策をフレームワーク側で入れるのは良いと思うが、フィルタしてformに自動的にhiddenを埋め込むのはあんまよろしくないんじゃないかという話です。 CSRFDefender的なやつには以下のような... 続きを読む

カスタムヘッダを使ったCSRF対策は安全に使えるかどうかということについて - 金利0無利息キャッシング – キャッシングできます - subtech

2013/03/04 81 users カスタムヘッダ subtech パク 利息キャッシング 付与

について。 http://d.hatena.ne.jp/hasegawayosuke/20130302/p1 http://d.hatena.ne.jp/hasegawayosuke/20130303/p1 これはsame originからじゃないとカスタムヘッダの付与ができないよ、ということに依存したCSRF対策ということになります。 ブラウザやプラグインの実装がバグってて、色々組み合わせること... 続きを読む

Hasegawa方式の CSRF対策を試してみた - tokuhirom's blog.

2013/03/04 35 users spec TOKUHIROM トークン use strict

2013-03-04 Hasegawa方式の CSRF対策を試してみた Amon2 での実装例です。 使用感としては、 * 実装はそれほどむずかしくない * トークンの保存をサーバー側でやらなくていいので楽 といったかんじ。 管理画面とかでつかってみたらよいかもしれぬ。 use strict; use warnings; use utf8; use File::Spec; use File::Ba... 続きを読む

XMLHttpRequestを使ったCSRF(補足編) - 葉っぱ日記

2013/03/03 181 users XMLHttpRequest MdN CSRF 補足編 話題

XMLHttpRequestを使ったCSRF対策 - 葉っぱ日記を書いていて思ったけど、いまいちXHRを使ったCSRF(というかクロスオリジン通信)について理解されていないような感じだったので、ちょっと書いておきます。とりあえず日本語のリソース的には、HTTP access control | MDN が詳しくて、それを読めばだいたい事足りるんで、あとはCSRFに関連しそうな話題だけ。Q. そもそ... 続きを読む

XMLHttpRequestを使ったCSRF対策 - 葉っぱ日記

2013/03/01 354 users XMLHttpRequest value mail 通り 以下

XMLHttpRequestを使うことで、シンプルにCSRF対策が行える。POSTするJavaScriptは以下の通り。 function post(){ var s = encodeURIComponent( document.getElementById("mail").value ) + "&" + encodeURIComponent( document.getElementById("m... 続きを読む

クッキーモンスターバグがあると、IPアドレス偽装防止のCSRF対策が回避される | 徳丸浩の日記

2013/03/01 104 users 徳丸浩 CSRF ITpro 誤認逮捕 日記

2013年3月1日金曜日 クッキーモンスターバグがあると、IPアドレス偽装防止のCSRF対策が回避される 日経Linux 2013年1月号に「“誤認逮捕”を防ぐWebセキュリティ強化術」を書き、それが今週4回連載で、ITproに転載されました。この中で、クロスサイトリクエストフォージェリ(CSRF)対策について説明しましたが、クッキーモンスターバグ(Cookie Monster Bug)がある場合... 続きを読む

リファラとCSRF対策の話 - 金利0無利息キャッシング – キャッシングできます - subtech

2012/10/18 241 users リファラ subtech data URI 利息キャッシング

リファラを使ったCSRF対策では多くの場合、想定していない、外部サイトのリファラが付いていたらエラーにする、ということが行われます。 一方で、ブラウザ側の設定に関わらず、リファラはいくつかの方法で消せます。 data uriからの送信 https から http への送信 meta referrerタグで送信しない指定をする(対応ブラウザのみ) 参考: http://wiki.whatwg.org... 続きを読む

Easy CSRF Key - PHPでお手軽にCSRF対策するやつ

2012/02/15 52 users Demo Hidden submit require Name

PHPで、おてがる簡単にCSRF対策するやつ。 デモ Easy CSRF - Demo (つかいかた) 1. 適当にrequireする。 require 'easy_csrf.php'; 2. 適当にsession_start()しておく。 session_start(); 3. (HTML) submitの手前に次の一文をいれる &ltinput type="hidden" name="<?= ... 続きを読む

高木浩光＠自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由, hiddenパラメタは漏れやすいのか？

2006/04/10 303 users 高木浩光 方式 自宅 日記 理由

水色の四角は画面を表し、白抜き実線枠の四角はボタンを表す。 これを、Webアプリという実装手法を選択する場合に特化すると、図2のような遷移図が描ける。 実線矢印はブラウザが送信するHTTPのrequest（ヘッダおよび、POSTの場合はボディを含む）を表し、黄色の丸がサーバ側での1アクセスの処理を表し、点線がその処理結果を返すHTTPのresponse（ヘッダおよび、HTML）を表す。respon... 続きを読む