はてブログ

はてなブックマーク新着エントリーの過去ログサイトです。



タグ CSRF対策

新着順 人気順 5 users 10 users 50 users 100 users 500 users 1000 users
 
(1 - 16 / 16件)
 

CSRF対策のやり方、そろそろアップデートしませんか / Update your knowledge of CSRF protection

2024/03/09 このエントリーをはてなブックマークに追加 412 users Instapaper Pocket Tweet Facebook Share Evernote Clip protection アップ やり方

PHPerKaigi 2024 • Day 1での登壇資料です。 https://phperkaigi.jp/2024/ https://fortee.jp/phperkaigi-2024/proposal/0d0f8507-0a53-46f6-bca6-23386d78f17f 続きを読む

SameSite属性とCSRFとHSTS - Cookieの基礎知識からブラウザごとのエッジケースまでおさらいする - Flatt Security Blog

2024/01/31 このエントリーをはてなブックマークに追加 110 users Instapaper Pocket Tweet Facebook Share Evernote Clip okazu_dm CSRF HSTS 文脈 挙動

こんにちは、 @okazu_dm です。 この記事は、CookieのSameSite属性についての解説と、その中でも例外的な挙動についての解説記事です。 サードパーティCookieやCSRF対策の文脈でCookieのSameSite属性に関してはご存知の方も多いと思います。本記事でCookieの基礎から最近のブラウザ上でのSameSite属性の扱いについて触れ... 続きを読む

PHPサーバーサイドプログラミングパーフェクトマスターのCSRF対策に脆弱性 | 徳丸浩の日記

2019/07/29 このエントリーをはてなブックマークに追加 217 users Instapaper Pocket Tweet Facebook Share Evernote Clip 徳丸浩 CSRF 脆弱性 アルゴリズム 日記

サマリPHPサーバーサイドプログラミングパーフェクトマスターには、PHP入門書としては珍しくクロスサイト・リクエストフォージェリ(CSRF)対策についての説明があるが、その方法には問題がある。アルゴリズムとして問題があることに加えて、実装上の問題があり、そのままコピペして用いると脆弱性となる。 はじめに古庄親... 続きを読む

問題:間違ったCSRF対策~中級編~ | 徳丸浩の日記

2018/11/12 このエントリーをはてなブックマークに追加 72 users Instapaper Pocket Tweet Facebook Share Evernote Clip 徳丸浩 後日 初級編 前回 ツイート

この記事は「問題:間違ったCSRF対策~初級編~」の続編です。前回同様、この記事では問題のみを出し、想定解答は後日公開することにします。ネタバレとなるブックマークコメントやツイートなどは控えていただけると幸いです(「思いのほか簡単だった」など感想は可)。ブログ記事等に解説記事を書くことは歓迎いたしま... 続きを読む

FuelPHP ◇ CSRF対策を行う - ken_effcの開発メモ

2015/01/07 このエントリーをはてなブックマークに追加 40 users Instapaper Pocket Tweet Facebook Share Evernote Clip FuelPHP Hidden true false 手動

2014-05-27 FuelPHP ◇ CSRF対策を行う FuelPHP FuelPHP 1.7 1.config.phpの設定 csrf_autoload : trueにすると自動でチェックを行う。ほとんどの場合、手動でチェックを行うのでfalseにしておく csrf_token_key : hiddenにセットされるcsrfチェック値のキー csrf_expiration : csrfクッ... 続きを読む

RailsのCSRF対策の仕組みについて - Programming log - Shindo200

2014/08/31 このエントリーをはてなブックマークに追加 220 users Instapaper Pocket Tweet Facebook Share Evernote Clip Rails Programming log エラー ブログ

2014-08-31 RailsのCSRF対策の仕組みについて Rails CSRF 先日、Rails で開発しているときに意図しない InvalidAuthenticityToken エラーが発生して、すごくハマってしまいました。そのときに Rails のCSRF対策の仕組みについていろいろと調べましたので、ブログに残しておきます。 Rails のCSRF対策 Rails が生成した Appli... 続きを読む

node.JsにおけるCSRF対策 | Developers.IO

2014/07/31 このエントリーをはてなブックマークに追加 65 users Instapaper Pocket Tweet Facebook Share Evernote Clip node.js Developers.IO

はじめに 現在参画中の案件ではNode.js + Expressを用いた開発を行っています。 開発を行っているのはWebアプリのため、当然セキュリティ対策も必要になってきます。 今回は、CSRF(クロスサイトリクエストフォージェリ)対策として、 ミドルウェアであるcsurfを検証しました。 CSRF(クロスサイトリクエストフォージェリ)とは Webサイトにスクリプトや自動転送(HTTPリダイレクト... 続きを読む

おそらくはそれさえも平凡な日々: CSRFDefender的なやつでコンテンツフィルタはしないほうがいいんじゃないかという話

2013/05/14 このエントリーをはてなブックマークに追加 12 users Instapaper Pocket Tweet Facebook Share Evernote Clip Hidden 組長 Form Plugin 結論

本日の組長のお話。 Ark::Plugin::CSRFDfenderに機能追加したりいろいろバグっていたりしたのに手を入れていたのだが、それに対して組長に意見を頂いた話。結論はタイトルの通り。 CSRF対策をフレームワーク側で入れるのは良いと思うが、フィルタしてformに自動的にhiddenを埋め込むのはあんまよろしくないんじゃないかという話です。 CSRFDefender的なやつには以下のような... 続きを読む

カスタムヘッダを使ったCSRF対策は安全に使えるかどうかということについて - 金利0無利息キャッシング – キャッシングできます - subtech

2013/03/04 このエントリーをはてなブックマークに追加 81 users Instapaper Pocket Tweet Facebook Share Evernote Clip カスタムヘッダ subtech パク 利息キャッシング 付与

について。 http://d.hatena.ne.jp/hasegawayosuke/20130302/p1 http://d.hatena.ne.jp/hasegawayosuke/20130303/p1 これはsame originからじゃないとカスタムヘッダの付与ができないよ、ということに依存したCSRF対策ということになります。 ブラウザやプラグインの実装がバグってて、色々組み合わせること... 続きを読む

Hasegawa方式の CSRF対策を試してみた - tokuhirom's blog.

2013/03/04 このエントリーをはてなブックマークに追加 35 users Instapaper Pocket Tweet Facebook Share Evernote Clip spec TOKUHIROM トークン use strict

2013-03-04 Hasegawa方式の CSRF対策を試してみた Amon2 での実装例です。 使用感としては、 * 実装はそれほどむずかしくない * トークンの保存をサーバー側でやらなくていいので楽 といったかんじ。 管理画面とかでつかってみたらよいかもしれぬ。 use strict; use warnings; use utf8; use File::Spec; use File::Ba... 続きを読む

XMLHttpRequestを使ったCSRF(補足編) - 葉っぱ日記

2013/03/03 このエントリーをはてなブックマークに追加 181 users Instapaper Pocket Tweet Facebook Share Evernote Clip XMLHttpRequest MdN CSRF 補足編 話題

XMLHttpRequestを使ったCSRF対策 - 葉っぱ日記を書いていて思ったけど、いまいちXHRを使ったCSRF(というかクロスオリジン通信)について理解されていないような感じだったので、ちょっと書いておきます。とりあえず日本語のリソース的には、HTTP access control | MDN が詳しくて、それを読めばだいたい事足りるんで、あとはCSRFに関連しそうな話題だけ。Q. そもそ... 続きを読む

XMLHttpRequestを使ったCSRF対策 - 葉っぱ日記

2013/03/01 このエントリーをはてなブックマークに追加 354 users Instapaper Pocket Tweet Facebook Share Evernote Clip XMLHttpRequest value mail 通り 以下

XMLHttpRequestを使うことで、シンプルにCSRF対策が行える。POSTするJavaScriptは以下の通り。 function post(){ var s = encodeURIComponent( document.getElementById("mail").value ) + "&" + encodeURIComponent( document.getElementById("m... 続きを読む

クッキーモンスターバグがあると、IPアドレス偽装防止のCSRF対策が回避される | 徳丸浩の日記

2013/03/01 このエントリーをはてなブックマークに追加 104 users Instapaper Pocket Tweet Facebook Share Evernote Clip 徳丸浩 CSRF ITpro 誤認逮捕 日記

2013年3月1日金曜日 クッキーモンスターバグがあると、IPアドレス偽装防止のCSRF対策が回避される 日経Linux 2013年1月号に「“誤認逮捕”を防ぐWebセキュリティ強化術」を書き、それが今週4回連載で、ITproに転載されました。この中で、クロスサイトリクエストフォージェリ(CSRF)対策について説明しましたが、クッキーモンスターバグ(Cookie Monster Bug)がある場合... 続きを読む

リファラとCSRF対策の話 - 金利0無利息キャッシング – キャッシングできます - subtech

2012/10/18 このエントリーをはてなブックマークに追加 241 users Instapaper Pocket Tweet Facebook Share Evernote Clip リファラ subtech data URI 利息キャッシング

リファラを使ったCSRF対策では多くの場合、想定していない、外部サイトのリファラが付いていたらエラーにする、ということが行われます。 一方で、ブラウザ側の設定に関わらず、リファラはいくつかの方法で消せます。 data uriからの送信 https から http への送信 meta referrerタグで送信しない指定をする(対応ブラウザのみ) 参考: http://wiki.whatwg.org... 続きを読む

Easy CSRF Key - PHPでお手軽にCSRF対策するやつ

2012/02/15 このエントリーをはてなブックマークに追加 52 users Instapaper Pocket Tweet Facebook Share Evernote Clip Demo Hidden submit require Name

PHPで、おてがる簡単にCSRF対策するやつ。 デモ Easy CSRF - Demo (つかいかた) 1. 適当にrequireする。 require 'easy_csrf.php'; 2. 適当にsession_start()しておく。 session_start(); 3. (HTML) submitの手前に次の一文をいれる &ltinput type="hidden" name="<?= ... 続きを読む

高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由, hiddenパラメタは漏れやすいのか?

2006/04/10 このエントリーをはてなブックマークに追加 303 users Instapaper Pocket Tweet Facebook Share Evernote Clip 高木浩光 方式 自宅 日記 理由

水色の四角は画面を表し、白抜き実線枠の四角はボタンを表す。 これを、Webアプリという実装手法を選択する場合に特化すると、図2のような遷移図が描ける。 実線矢印はブラウザが送信するHTTPのrequest(ヘッダおよび、POSTの場合はボディを含む)を表し、黄色の丸がサーバ側での1アクセスの処理を表し、点線がその処理結果を返すHTTPのresponse(ヘッダおよび、HTML)を表す。respon... 続きを読む

 
(1 - 16 / 16件)