タグ CSRF脆弱性
人気順 10 users 50 users 100 users 500 users 1000 users徳丸浩の日記: teratailに投稿されたメールフォームにCSRF脆弱性が残存した理由
teratailに以下のような投稿がありました。 PHPでメールフォームを作成したので、脆弱性がないかアドバイスいただけないでしょうか。 エンジニアでもなければ、PHPもろくに書けない雑魚ですが、「php メールフォーム 作り方」でググって表示されるサイトを見ると、「んんんんん???」と思うところがあります。 これらを参考にしたり、コピペする方は、記述されているコードの良し悪しは判断できないかと思... 続きを読む
teratailに投稿されたメールフォームにCSRF脆弱性が残存した理由 | 徳丸浩の日記
teratailに以下のような投稿がありました。 PHPでメールフォームを作成したので、脆弱性がないかアドバイスいただけないでしょうか。 エンジニアでもなければ、PHPもろくに書けない雑魚ですが、「php メールフォーム 作り方」でググって表示されるサイトを見ると、「んんんんん???」と思うところがあります。 これらを参考にしたり、コピペする方は、記述されているコードの良し悪しは判断できないかと思... 続きを読む
書籍『Webアプリケーションセキュリティ対策入門』のCSRF脆弱性について追試してみた — A Day in Serenity (Reloaded) — PHP, FuelPHP, Linux or something
以下の記事よると、書籍『Webアプリケーションセキュリティ対策入門』のサンプルにCSRF脆弱性があるということなので、確認してみることにしました。 書籍『Webアプリケーションセキュリティ対策入門』のCSRF脆弱性 | 徳丸浩の日記 サンプルのインストール まず、Webアプリケーションセキュリティ対策入門の付録を更新 | yohgaki's blogよりサンプルコードsimple-bbs.tar.... 続きを読む
書籍『Webアプリケーションセキュリティ対策入門』のCSRF脆弱性 | 徳丸浩の日記
2015年6月30日火曜日 書籍『Webアプリケーションセキュリティ対策入門』のCSRF脆弱性について 一昨日twitter上で、ほしくずさんから、以下の様なツイートがありました。 http://t.co/jSZA9daLQG にもありますように大垣靖男さんの著書『Webアプリケーションセキュリティ対策入門』の付録が更新されています。 更新前を第一版、更新後を第二版と、ここでは呼ぶことに致します。... 続きを読む
本の虫: CSRF脆弱性のあるフォーラムに犯罪予告を書き込んだとして人が逮捕される
2012/08/27 CSRF脆弱性のあるフォーラムに犯罪予告を書き込んだとして人が逮捕される CSRF脆弱性のあるフォーラムに犯罪予告を書き込んだとして人が逮捕されるニュースが流れた。ところが、どうもそのニュースにはきな臭いところがある。 というのも、その書きこまれたフォーラムには、CSRF脆弱性があるのだという。つまり、攻撃用のWebサイトを閲覧したものなら誰でも、犯罪予告の書き込みをおこなっ... 続きを読む
CSRFで強制ログインさせるというアイデア - ぼくはまちちゃん!(Hatena)
こんにちはこんにちは!! 今日はCSRF脆弱性のちょっとした話です! このCSRFってなにかっていうと、 サーバーへのリクエストを『誰かに勝手に送らせる』っていうやつ。 わかりやすいな例だと、 HTMLの画像タグを以下のようにしたページを誰かに教える。 img src="何々SNSのの足跡.php" width="1" height="1"> そうすると、そのページを「見た人」が何々SNSのの足跡... 続きを読む
はまちちゃんと脆弱性報告のあり方 - 世界線航跡蔵
はまちちゃんがいつものごとく、AmebaなうにCSRF脆弱性を発見していたずらを仕掛けた。そして、何故か今回だけ「それは迷惑行為だ」とかなんか騒がしい。私はそもそも、はまちちゃんのいたずらを「隙があったからカンチョー」に喩えるのが程度がおかしいんじゃないかと思う。それで非技術者には話が通じていないのでは?CSRFやSQL Injectionを許していたら、何よりも守るべきユーザーの情報が危険だ。そ... 続きを読む
URL踏むと「こんにちは こんにちは!!」 AmebaなうのCSRF脆弱性で“意図しない投稿”広がる - ITmedia News
ニュース URL踏むと「こんにちは こんにちは!!」 AmebaなうのCSRF脆弱性で“意図しない投稿”広がる 「Amebaなう」で、あるURLをクリックすると、「こんにちは こんにちは!!」というフレーズとクリックしたURL文字列が自動で投稿され、特定のアカウントを自動でフォローしてしまうという現象が広がった。 2009年12月11日 12時41分 更新 Amebaなう 12月10日にPC版がス... 続きを読む
in between days - mixiにCSRF脆弱性「ぼくはまちちゃん!」トラップ
mixi恐がりさん経由でやじうまWatchからたくさん人がくるよう怖いようとか震えてたら今度は小島さんとこに貼られてしまうました! いやーん。まとめサイト的には↓のWikiのほうがまとまっていると思うマス!mixi/ぼくはまちちゃん! - BtD: WikiというかVer 3.0も対策されたけど、余波で同じ仕組みの良心系お楽しみギミックも動作しなくなったもよお。おみくじスロット「まちちゃん」ではな... 続きを読む