徳丸浩の日記: teratailに投稿されたメールフォームにCSRF脆弱性が残存した理由

2017/04/11 248 users teratail 徳丸浩 雑魚 PHP エンジニア

teratailに以下のような投稿がありました。 PHPでメールフォームを作成したので、脆弱性がないかアドバイスいただけないでしょうか。 エンジニアでもなければ、PHPもろくに書けない雑魚ですが、「php メールフォーム 作り方」でググって表示されるサイトを見ると、「んんんんん？？？」と思うところがあります。 これらを参考にしたり、コピペする方は、記述されているコードの良し悪しは判断できないかと思... 続きを読む

teratailに投稿されたメールフォームにCSRF脆弱性が残存した理由 | 徳丸浩の日記

2017/04/11 248 users teratail 徳丸浩 雑魚 PHP エンジニア

teratailに以下のような投稿がありました。 PHPでメールフォームを作成したので、脆弱性がないかアドバイスいただけないでしょうか。 エンジニアでもなければ、PHPもろくに書けない雑魚ですが、「php メールフォーム 作り方」でググって表示されるサイトを見ると、「んんんんん？？？」と思うところがあります。 これらを参考にしたり、コピペする方は、記述されているコードの良し悪しは判断できないかと思... 続きを読む

書籍『Webアプリケーションセキュリティ対策入門』のCSRF脆弱性 | 徳丸浩の日記

2015/06/29 110 users 徳丸浩 Webアプリケーションセキュリティ対策入門 付録

2015年6月30日火曜日 書籍『Webアプリケーションセキュリティ対策入門』のCSRF脆弱性について 一昨日twitter上で、ほしくずさんから、以下の様なツイートがありました。 http://t.co/jSZA9daLQG にもありますように大垣靖男さんの著書『Webアプリケーションセキュリティ対策入門』の付録が更新されています。 更新前を第一版、更新後を第二版と、ここでは呼ぶことに致します。... 続きを読む

CSRFで強制ログインさせるというアイデア - ぼくはまちちゃん！(Hatena)

2012/05/22 544 users CSRF height width 足跡 IMG SRC

こんにちはこんにちは！！ 今日はCSRF脆弱性のちょっとした話です！ このCSRFってなにかっていうと、 サーバーへのリクエストを『誰かに勝手に送らせる』っていうやつ。 わかりやすいな例だと、 HTMLの画像タグを以下のようにしたページを誰かに教える。 img src="何々SNSのの足跡.php" width="1" height="1"> そうすると、そのページを「見た人」が何々SNSのの足跡... 続きを読む

はまちちゃんと脆弱性報告のあり方 - 世界線航跡蔵

2009/12/13 294 users はまちちゃん 世界線航跡蔵 脆弱性報告 Ameba CSRF

はまちちゃんがいつものごとく、AmebaなうにCSRF脆弱性を発見していたずらを仕掛けた。そして、何故か今回だけ「それは迷惑行為だ」とかなんか騒がしい。私はそもそも、はまちちゃんのいたずらを「隙があったからカンチョー」に喩えるのが程度がおかしいんじゃないかと思う。それで非技術者には話が通じていないのでは?CSRFやSQL Injectionを許していたら、何よりも守るべきユーザーの情報が危険だ。そ... 続きを読む

URL踏むと「こんにちは　こんにちは!!」　AmebaなうのCSRF脆弱性で“意図しない投稿”広がる - ITmedia News

2009/12/11 284 users ITmedia News Ameba URL 投稿 フレーズ

ニュース URL踏むと「こんにちは　こんにちは!!」　AmebaなうのCSRF脆弱性で“意図しない投稿”広がる 「Amebaなう」で、あるURLをクリックすると、「こんにちは　こんにちは!!」というフレーズとクリックしたURL文字列が自動で投稿され、特定のアカウントを自動でフォローしてしまうという現象が広がった。 2009年12月11日 12時41分 更新 Amebaなう 12月10日にPC版がス... 続きを読む