令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io

2024/04/26 445 users API jxck.io 実装 令和時代 対策

Intro CSRF という古の攻撃がある。この攻撃を「古(いにしえ)」のものにすることができたプラットフォームの進化の背景を、「Cookie が SameSite Lax by Default になったからだ」という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラッ... 続きを読む

SameSite属性とCSRFとHSTS - Cookieの基礎知識からブラウザごとのエッジケースまでおさらいする - Flatt Security Blog

2024/01/31 110 users okazu_dm HSTS 文脈 挙動 CSRF対策

こんにちは、 @okazu_dm です。 この記事は、CookieのSameSite属性についての解説と、その中でも例外的な挙動についての解説記事です。 サードパーティCookieやCSRF対策の文脈でCookieのSameSite属性に関してはご存知の方も多いと思います。本記事でCookieの基礎から最近のブラウザ上でのSameSite属性の扱いについて触れ... 続きを読む

CSRF 対策はいまだに Token が必須なのか?

2024/01/18 292 users redis memcache TOKEN Form 必須

CSRF 対策は One Time Token を form なりに付与して、サーバ側でチェックすれば良い。 それをデフォルトでサポートしてるフレームワークなどもあるし、なくてもライブラリでいくらでも対応できる。 どうせ完全にステートレスなサービスはなかなかないので、サーバ側に redis や memcache を用意するのも別に大変じゃな... 続きを読む

CSRF(Cross-Site Request Forgery)攻撃について

2022/10/31 158 users 備忘メモ フレームワーク 処置 前任者 Webアプリケーション

ふと気になって調べたことの備忘メモです ✍ なぜ調べたか Webアプリケーションの開発に携わっていると CSRF という脆弱性への対処を求められますが、多くの場合利用しているフレームワークが設定追加だけで対応してくれたり、既に前任者によって適切な処置がされていたりなど、実務上で目を向ける機会はその重要性と比較... 続きを読む

今時の CSRF 対策ってなにをすればいいの？ | Basicinc Enjoy Hacking!

2022/08/27 205 users メンション zaru フォージェリ 今時 リクエスト

こんにちは @zaru です。今回は昔からある CSRF (クロスサイト・リクエスト・フォージェリ) の今時の対策についてまとめてみました。もし、記事中に間違いがあれば @zaru まで DM もしくはメンションをください (セキュリティの細かい部分についての理解が乏しい…) 。 そもそも CSRF ってなに？ 昔からインターネットを... 続きを読む

VALUE-DOMAIN に存在していた2種類のドメインハイジャック脆弱性について - debiruはてなメモ

2022/04/12 202 users 続報 アカウント乗っ取り 経緯 メモ 脆弱性

2022年3月2日に確認した VALUE-DOMAIN でのサブドメインハイジャックが可能な脆弱性について経緯を説明します。 ついでに2016年の記事「VALUE-DOMAIN に存在していたアカウント乗っ取り可能な CSRF 脆弱性について」の続報も含めて、この記事で2022年現在の VALUE-DOMAIN の状況についてお伝えします。 脆弱性を2つ発見... 続きを読む

CSRF, CORS, and HTTP Security headers Demystified

2021/04/30 11 users Cors

With an increasing number of breaches, intrusions, and data thefts, securing a web application is extremely important. On the other hand, programmers often do not have a strong grasp of how attacks work and how to mitigate them. This post attempts to close that gap a little. CSRF Cross-Site Reque... 続きを読む

Web Security 101: An Interactive Cross-Site Request Forgery (CSRF) Demo - victorzhou.com

2020/06/10 5 users READY Demo show I’m going to

Looking for an introduction to Cross-Site Request Forgery (CSRF)? This post will be a little different - instead of telling you what it is, I’m going to show you. Ready? Setting the Scene You’re a responsible, hardworking person. You’ve saved up your money over the years at Definitely Secure Bank... 続きを読む

PHPサーバーサイドプログラミングパーフェクトマスターのCSRF対策に脆弱性 | 徳丸浩の日記

2019/07/29 217 users 徳丸浩 CSRF対策 脆弱性 アルゴリズム 日記

サマリPHPサーバーサイドプログラミングパーフェクトマスターには、PHP入門書としては珍しくクロスサイト・リクエストフォージェリ(CSRF)対策についての説明があるが、その方法には問題がある。アルゴリズムとして問題があることに加えて、実装上の問題があり、そのままコピペして用いると脆弱性となる。 はじめに古庄親... 続きを読む

Railsエンジニアのためのウェブセキュリティ入門

2019/04/26 323 users Railsエンジニア クロスサイトスクリプティング XSS

Railsエンジニアのためのウェブセキュリティ入門 1. Railsエンジニアのためのウェブセキュリティ入門 EGセキュアソリューションズ株式会社 代表取締役 徳丸 浩 2. アジェンダ • 3分間クッキングデモ • OSコマンドインジェクション • クロスサイトリクエストフォージェリ(CSRF) • クロスサイトスクリプティング(XSS) • SQ... 続きを読む

Vue + Vue Router + Vuex + Laravel チュートリアル（全16回）を書きました。 - Qiita

2019/01/14 629 users Qiita Laravel Vuex Vue ローディング

学べること Vue.js と Laravel を組み合わせる ルーティングライブラリ Vue Router を取り入れる 状態管理ライブラリ Vuex を取り入れる タブやローディングを作る Vue.js + Laravel の構成でクッキー認証と CSRF 対策を行う SPA でエラー処理を行う こんな人に読んでほしい Vue や Laravel について、 入門書を読んだあ... 続きを読む

調べてみた「Double Submit Cookie」とは？ - アルパカログ

2019/01/13 12 users アルパカログ OWASP REST 徳丸さん 著者

Double Submit Cookie は OWASP が提唱する CSRF 対策の1つで、『安全なWebアプリケーションの作り方』の著者である徳丸さんはブログで、 Double Submit Cookieは、サーバー側で状態を保持する必要が無いため、RESTとの相性が良いというのも最近好まれる理由かと思いますが、外部からクッキーを変更されないことを前提し... 続きを読む

PHPプログラマのためのXXE入門 | 徳丸浩の日記

2017/12/24 78 users 徳丸浩 PHPプログラマ ニューラルネットワーク PHP 脅威

この日記は PHP Advent Calendar 2017 の25日目です。前回は@watanabejunyaさんの「 PHPでニューラルネットワークを実装してみる 」でした。 OWASP Top 10 2017 が発表され、ウェブのセキュリティ業界がざわついています。というのも、2013年版までは入っていたCSRFが外され、以下の2つの脅威が選入されたからです。 A4 XML外部実体参照(XX... 続きを読む

「WordPress 4.7.3」公開、XSSなど6件の脆弱性を修正 -INTERNET Watch

2017/03/07 10 users XSS クロスサイトスクリプティング ブログツール 岩崎 修正

ニュース 「WordPress 4.7.3」公開、XSSなど6件の脆弱性を修正 岩崎 宰守 2017年3月7日 11:59 　WordPressは6日、ブログツール「WordPress」のセキュリティアップデートとなるバージョン「4.7.3」を公開した。クロスサイトスクリプティング（XSS）の脆弱性3件や、クロスサイトリクエストフォージェリ（CSRF）の脆弱性1件など、計6件が修正されており、利用... 続きを読む

Rails セキュリティガイド | Rails ガイド

2017/01/07 199 users セキュリティガイド 概念 セッション Rails マニュアル

このマニュアルでは、Webアプリケーション全般におけるセキュリティの問題と、Railsでそれらの問題を回避する方法について説明します。 このガイドの内容: 本ガイドで取り上げられている問題 に対するあらゆる対策 Railsにおけるセッションの概念、セッションに含まれる項目、セッションに対して行われることの多い攻撃 Webサイトを開くだけでセキュリティ問題が発生するしくみ (CSRF) ファイルの取... 続きを読む

クロスサイトリクエストフォージェリ(CSRF)とその対策手法 (OSC2015Hokkaido版)

2015/06/14 135 users Copyri JPCERT root http 対策手法

Transcript 1. (CSRF) JPCERT/CC( C (yozo.toda@jpcert.or.jp) OSC2015Hokkaido 2. Copyright©2015JPCERT/CC(All(rights(reserved. http://www.tomo.gr.jp/root/e9706.html JPCERT/CC C C C ,( C …… rao 2 3. Copyri... 続きを読む

WordPress、深刻な脆弱性を修正　XSS攻撃の恐れ - ITmedia エンタープライズ

2014/11/21 64 users XSS攻撃 WordPress 脆弱性 XSS 修正

WordPress 4.0.1ではXSSの脆弱性などが修正された。悪用された場合、Webサイトをハッキングされたり、クロルサイトリクエストフォージェリ（CSRF）攻撃を仕掛けられたりする恐れがある。 ブログ作成ソフトの更新版となる「WordPress 4.0.1」が11月20日に公開された。クロスサイトスクリプティング（XSS）などの深刻な脆弱性が修正されており、ユーザーに対して自分のWebサイト... 続きを読む

OAuth2.0で強制連携させるCSRFの影響と、その対策について - 金利0無利息キャッシング – キャッシングできます - subtech

2014/07/24 146 users subtech 周知 利息キャッシング co.jp 金利

OAuth2.0で強制連携させるCSRFについて、いまいち周知が十分でない気がするので解説します。簡単に言うと、複数のid providerによるログインをサポートしているのであれば「CSRFによる外部アカウント強制連携」は、アカウントハイジャックが可能な脆弱性だと考えなくてはいけない、ということです。 このへんの話 http://alpha.mixi.co.jp/2013/12020/ http... 続きを読む

co3k.org - Blog - CSRF 対策用トークンの値にセッション ID そのものを使ってもいい時代は終わりつつある

2014/02/17 187 users 文脈 アプリケーション 前提 用途 リクエスト

CSRF 脆弱性対策には攻撃者の知り得ない秘密情報をリクエストに対して要求すればよく、そのような用途としてはセッション ID がお手軽でいいよねという時代があったかと思います。 いや、もちろん、 CSRF 対策の文脈だけで言えば今も昔も間違いというわけではありません。セッション ID が秘密情報であるのは Web アプリケーションにおいて当然の前提ですので、 CSRF 対策としてリクエストに求める... 続きを読む

他人のアカウントからツイート投稿も、Twitterが脆弱性を修正 - ITmedia ニュース

2013/11/06 23 users Twitter 英国 ダイレクトメッセージ 他人 脆弱性

Twitterに存在していたCSRFの脆弱性を研究者が発見。悪用された場合、攻撃者が他人のアカウントからツイートを投稿したり、ダイレクトメッセージを読んだりすることが可能だった。 Twitterに他人のアカウントからツイートを投稿したり、ダイレクトメッセージを読んだりできてしまう脆弱性が見つかったとして、英国のセキュリティ研究者が11月6日のブログで報告した。Twitterは既にこの脆弱性を修正済... 続きを読む

ルーターの脆弱性を探して侵入する手順 - 素人がプログラミングを勉強していたブログ

2013/11/04 631 users ルーター プログラミング 手順 脆弱性 SSID

2013-11-04 ルーターの脆弱性を探して侵入する手順 先日紹介した、Satechi Smart Travel Routerだが、ふと直感的にセキュリティに問題があるような予感がしたので、自分のルーターをアタックしてみた。 結果から言うとCSRFが存在し、外部からインターネット越しに細工をしてあるURLを踏ませることで、ルーターのパスワード、SSIDを書き換えたり、WiFi to WiFiのリ... 続きを読む

IPAから「クリックジャッキング」に関するレポート出ました - 葉っぱ日記

2013/03/29 22 users IPA クリックジャッキング 葉っぱ日記 HTTPリクエスト

Webアプリケーションのセキュリティの分野で「新しい攻撃手法」は実はそれほど多くないのですが、比較的新しく対応が求められているものとしてクリックジャッキングがあります。クリックジャッキングは、CSRFと同じように「Webアプリケーションのサーバー側機能」を利用者（被害者）に実行させる手法です。CSRFは、当該機能を実行するHTTPリクエストを送信させる罠を使いますが、クリックジャッキングの方は、i... 続きを読む

IPAから「クリックジャッキング」に関するレポート出ました | 徳丸浩の日記

2013/03/29 253 users IPA クリックジャッキング 徳丸浩 レポート 手法

2013年3月29日金曜日 IPAから「クリックジャッキング」に関するレポート出ました Webアプリケーションのセキュリティの分野で「新しい攻撃手法」は実はそれほど多くないのですが、比較的新しく対応が求められているものとしてクリックジャッキングがあります。クリックジャッキングは、CSRFと同じように「Webアプリケーションのサーバー側機能」を利用者（被害者）に実行させる手法です。CSRFは、当該機... 続きを読む

「Aterm」のルーター設定画面にCSRFの脆弱性、ファームアップデートなどを -INTERNET Watch

2013/03/19 58 users Aterm ISEC JVN JPCERT IPA

ニュース 「Aterm」のルーター設定画面にCSRFの脆弱性、ファームアップデートなどを （2013/3/19 18:55） 独立行政法人情報処理推進機構セキュリティセンター（IPA/ISEC）と一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は19日、共同運営する脆弱性情報サイト「JVN（Japan Vulnerability Notes）」において、NEC製の複数の無線... 続きを読む

XMLHttpRequestを使ったCSRF(補足編) - 葉っぱ日記

2013/03/03 181 users XMLHttpRequest MdN CSRF対策 補足編

XMLHttpRequestを使ったCSRF対策 - 葉っぱ日記を書いていて思ったけど、いまいちXHRを使ったCSRF(というかクロスオリジン通信)について理解されていないような感じだったので、ちょっと書いておきます。とりあえず日本語のリソース的には、HTTP access control | MDN が詳しくて、それを読めばだいたい事足りるんで、あとはCSRFに関連しそうな話題だけ。Q. そもそ... 続きを読む