タグ CSRF
人気順 5 users 50 users 100 users 500 users 1000 usersLaravelはどのようにCSRF対策をしているのか?
誰しもLaravelのbladeでformを書くにあたって、@csrfという魔法の呪文を書いたことがあるかと思います。 「これを書いておけばCSRF対策はOK」 ドキュメントにも要約するとそういう旨が書いてあります。 この記事では@csrfについてLaravelの実装を実際に見てみることで、CSRFとその対策への理解を深めたいと思います。 ち... 続きを読む
令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io
Intro CSRF という古の攻撃がある。この攻撃を「古(いにしえ)」のものにすることができたプラットフォームの進化の背景を、「Cookie が SameSite Lax by Default になったからだ」という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラッ... 続きを読む
SameSite属性とCSRFとHSTS - Cookieの基礎知識からブラウザごとのエッジケースまでおさらいする - Flatt Security Blog
こんにちは、 @okazu_dm です。 この記事は、CookieのSameSite属性についての解説と、その中でも例外的な挙動についての解説記事です。 サードパーティCookieやCSRF対策の文脈でCookieのSameSite属性に関してはご存知の方も多いと思います。本記事でCookieの基礎から最近のブラウザ上でのSameSite属性の扱いについて触れ... 続きを読む
CSRF 対策はいまだに Token が必須なのか?
CSRF 対策は One Time Token を form なりに付与して、サーバ側でチェックすれば良い。 それをデフォルトでサポートしてるフレームワークなどもあるし、なくてもライブラリでいくらでも対応できる。 どうせ完全にステートレスなサービスはなかなかないので、サーバ側に redis や memcache を用意するのも別に大変じゃな... 続きを読む
CSRF(Cross-Site Request Forgery)攻撃について
ふと気になって調べたことの備忘メモです ✍ なぜ調べたか Webアプリケーションの開発に携わっていると CSRF という脆弱性への対処を求められますが、多くの場合利用しているフレームワークが設定追加だけで対応してくれたり、既に前任者によって適切な処置がされていたりなど、実務上で目を向ける機会はその重要性と比較... 続きを読む
今時の CSRF 対策ってなにをすればいいの? | Basicinc Enjoy Hacking!
こんにちは @zaru です。今回は昔からある CSRF (クロスサイト・リクエスト・フォージェリ) の今時の対策についてまとめてみました。もし、記事中に間違いがあれば @zaru まで DM もしくはメンションをください (セキュリティの細かい部分についての理解が乏しい…) 。 そもそも CSRF ってなに? 昔からインターネットを... 続きを読む
VALUE-DOMAIN に存在していた2種類のドメインハイジャック脆弱性について - debiruはてなメモ
2022年3月2日に確認した VALUE-DOMAIN でのサブドメインハイジャックが可能な脆弱性について経緯を説明します。 ついでに2016年の記事「VALUE-DOMAIN に存在していたアカウント乗っ取り可能な CSRF 脆弱性について」の続報も含めて、この記事で2022年現在の VALUE-DOMAIN の状況についてお伝えします。 脆弱性を2つ発見... 続きを読む
CSRF, CORS, and HTTP Security headers Demystified
With an increasing number of breaches, intrusions, and data thefts, securing a web application is extremely important. On the other hand, programmers often do not have a strong grasp of how attacks work and how to mitigate them. This post attempts to close that gap a little. CSRF Cross-Site Reque... 続きを読む
PHPサーバーサイドプログラミングパーフェクトマスターのCSRF対策に脆弱性 | 徳丸浩の日記
サマリPHPサーバーサイドプログラミングパーフェクトマスターには、PHP入門書としては珍しくクロスサイト・リクエストフォージェリ(CSRF)対策についての説明があるが、その方法には問題がある。アルゴリズムとして問題があることに加えて、実装上の問題があり、そのままコピペして用いると脆弱性となる。 はじめに古庄親... 続きを読む
Railsエンジニアのためのウェブセキュリティ入門
Railsエンジニアのためのウェブセキュリティ入門 1. Railsエンジニアのためのウェブセキュリティ入門 EGセキュアソリューションズ株式会社 代表取締役 徳丸 浩 2. アジェンダ • 3分間クッキングデモ • OSコマンドインジェクション • クロスサイトリクエストフォージェリ(CSRF) • クロスサイトスクリプティング(XSS) • SQ... 続きを読む
Vue + Vue Router + Vuex + Laravel チュートリアル(全16回)を書きました。 - Qiita
学べること Vue.js と Laravel を組み合わせる ルーティングライブラリ Vue Router を取り入れる 状態管理ライブラリ Vuex を取り入れる タブやローディングを作る Vue.js + Laravel の構成でクッキー認証と CSRF 対策を行う SPA でエラー処理を行う こんな人に読んでほしい Vue や Laravel について、 入門書を読んだあ... 続きを読む
調べてみた「Double Submit Cookie」とは? - アルパカログ
Double Submit Cookie は OWASP が提唱する CSRF 対策の1つで、『安全なWebアプリケーションの作り方』の著者である徳丸さんはブログで、 Double Submit Cookieは、サーバー側で状態を保持する必要が無いため、RESTとの相性が良いというのも最近好まれる理由かと思いますが、外部からクッキーを変更されないことを前提し... 続きを読む
PHPプログラマのためのXXE入門 | 徳丸浩の日記
この日記は PHP Advent Calendar 2017 の25日目です。前回は@watanabejunyaさんの「 PHPでニューラルネットワークを実装してみる 」でした。 OWASP Top 10 2017 が発表され、ウェブのセキュリティ業界がざわついています。というのも、2013年版までは入っていたCSRFが外され、以下の2つの脅威が選入されたからです。 A4 XML外部実体参照(XX... 続きを読む
「WordPress 4.7.3」公開、XSSなど6件の脆弱性を修正 -INTERNET Watch
ニュース 「WordPress 4.7.3」公開、XSSなど6件の脆弱性を修正 岩崎 宰守 2017年3月7日 11:59 WordPressは6日、ブログツール「WordPress」のセキュリティアップデートとなるバージョン「4.7.3」を公開した。クロスサイトスクリプティング(XSS)の脆弱性3件や、クロスサイトリクエストフォージェリ(CSRF)の脆弱性1件など、計6件が修正されており、利用... 続きを読む
Rails セキュリティガイド | Rails ガイド
このマニュアルでは、Webアプリケーション全般におけるセキュリティの問題と、Railsでそれらの問題を回避する方法について説明します。 このガイドの内容: 本ガイドで取り上げられている問題 に対するあらゆる対策 Railsにおけるセッションの概念、セッションに含まれる項目、セッションに対して行われることの多い攻撃 Webサイトを開くだけでセキュリティ問題が発生するしくみ (CSRF) ファイルの取... 続きを読む
クロスサイトリクエストフォージェリ(CSRF)とその対策手法 (OSC2015Hokkaido版)
Transcript 1. (CSRF) JPCERT/CC( C (yozo.toda@jpcert.or.jp) OSC2015Hokkaido 2. Copyright©2015JPCERT/CC(All(rights(reserved. http://www.tomo.gr.jp/root/e9706.html JPCERT/CC C C C ,( C …… rao 2 3. Copyri... 続きを読む
WordPress、深刻な脆弱性を修正 XSS攻撃の恐れ - ITmedia エンタープライズ
WordPress 4.0.1ではXSSの脆弱性などが修正された。悪用された場合、Webサイトをハッキングされたり、クロルサイトリクエストフォージェリ(CSRF)攻撃を仕掛けられたりする恐れがある。 ブログ作成ソフトの更新版となる「WordPress 4.0.1」が11月20日に公開された。クロスサイトスクリプティング(XSS)などの深刻な脆弱性が修正されており、ユーザーに対して自分のWebサイト... 続きを読む
OAuth2.0で強制連携させるCSRFの影響と、その対策について - 金利0無利息キャッシング – キャッシングできます - subtech
OAuth2.0で強制連携させるCSRFについて、いまいち周知が十分でない気がするので解説します。簡単に言うと、複数のid providerによるログインをサポートしているのであれば「CSRFによる外部アカウント強制連携」は、アカウントハイジャックが可能な脆弱性だと考えなくてはいけない、ということです。 このへんの話 http://alpha.mixi.co.jp/2013/12020/ http... 続きを読む
co3k.org - Blog - CSRF 対策用トークンの値にセッション ID そのものを使ってもいい時代は終わりつつある
CSRF 脆弱性対策には攻撃者の知り得ない秘密情報をリクエストに対して要求すればよく、そのような用途としてはセッション ID がお手軽でいいよねという時代があったかと思います。 いや、もちろん、 CSRF 対策の文脈だけで言えば今も昔も間違いというわけではありません。セッション ID が秘密情報であるのは Web アプリケーションにおいて当然の前提ですので、 CSRF 対策としてリクエストに求める... 続きを読む
他人のアカウントからツイート投稿も、Twitterが脆弱性を修正 - ITmedia ニュース
Twitterに存在していたCSRFの脆弱性を研究者が発見。悪用された場合、攻撃者が他人のアカウントからツイートを投稿したり、ダイレクトメッセージを読んだりすることが可能だった。 Twitterに他人のアカウントからツイートを投稿したり、ダイレクトメッセージを読んだりできてしまう脆弱性が見つかったとして、英国のセキュリティ研究者が11月6日のブログで報告した。Twitterは既にこの脆弱性を修正済... 続きを読む
ルーターの脆弱性を探して侵入する手順 - 素人がプログラミングを勉強していたブログ
2013-11-04 ルーターの脆弱性を探して侵入する手順 先日紹介した、Satechi Smart Travel Routerだが、ふと直感的にセキュリティに問題があるような予感がしたので、自分のルーターをアタックしてみた。 結果から言うとCSRFが存在し、外部からインターネット越しに細工をしてあるURLを踏ませることで、ルーターのパスワード、SSIDを書き換えたり、WiFi to WiFiのリ... 続きを読む
IPAから「クリックジャッキング」に関するレポート出ました - 葉っぱ日記
Webアプリケーションのセキュリティの分野で「新しい攻撃手法」は実はそれほど多くないのですが、比較的新しく対応が求められているものとしてクリックジャッキングがあります。クリックジャッキングは、CSRFと同じように「Webアプリケーションのサーバー側機能」を利用者(被害者)に実行させる手法です。CSRFは、当該機能を実行するHTTPリクエストを送信させる罠を使いますが、クリックジャッキングの方は、i... 続きを読む
IPAから「クリックジャッキング」に関するレポート出ました | 徳丸浩の日記
2013年3月29日金曜日 IPAから「クリックジャッキング」に関するレポート出ました Webアプリケーションのセキュリティの分野で「新しい攻撃手法」は実はそれほど多くないのですが、比較的新しく対応が求められているものとしてクリックジャッキングがあります。クリックジャッキングは、CSRFと同じように「Webアプリケーションのサーバー側機能」を利用者(被害者)に実行させる手法です。CSRFは、当該機... 続きを読む
「Aterm」のルーター設定画面にCSRFの脆弱性、ファームアップデートなどを -INTERNET Watch
ニュース 「Aterm」のルーター設定画面にCSRFの脆弱性、ファームアップデートなどを (2013/3/19 18:55) 独立行政法人情報処理推進機構セキュリティセンター(IPA/ISEC)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は19日、共同運営する脆弱性情報サイト「JVN(Japan Vulnerability Notes)」において、NEC製の複数の無線... 続きを読む
XMLHttpRequestを使ったCSRF(補足編) - 葉っぱ日記
XMLHttpRequestを使ったCSRF対策 - 葉っぱ日記を書いていて思ったけど、いまいちXHRを使ったCSRF(というかクロスオリジン通信)について理解されていないような感じだったので、ちょっと書いておきます。とりあえず日本語のリソース的には、HTTP access control | MDN が詳しくて、それを読めばだいたい事足りるんで、あとはCSRFに関連しそうな話題だけ。Q. そもそ... 続きを読む