令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io

2024/04/26 445 users API jxck.io 実装 令和時代 対策

Intro CSRF という古の攻撃がある。この攻撃を「古(いにしえ)」のものにすることができたプラットフォームの進化の背景を、「Cookie が SameSite Lax by Default になったからだ」という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラッ... 続きを読む

SameSite属性とCSRFとHSTS - Cookieの基礎知識からブラウザごとのエッジケースまでおさらいする - Flatt Security Blog

2024/01/31 110 users okazu_dm HSTS 文脈 挙動 CSRF対策

こんにちは、 @okazu_dm です。 この記事は、CookieのSameSite属性についての解説と、その中でも例外的な挙動についての解説記事です。 サードパーティCookieやCSRF対策の文脈でCookieのSameSite属性に関してはご存知の方も多いと思います。本記事でCookieの基礎から最近のブラウザ上でのSameSite属性の扱いについて触れ... 続きを読む

CSRF 対策はいまだに Token が必須なのか?

2024/01/18 292 users redis memcache TOKEN Form 必須

CSRF 対策は One Time Token を form なりに付与して、サーバ側でチェックすれば良い。 それをデフォルトでサポートしてるフレームワークなどもあるし、なくてもライブラリでいくらでも対応できる。 どうせ完全にステートレスなサービスはなかなかないので、サーバ側に redis や memcache を用意するのも別に大変じゃな... 続きを読む

CSRF(Cross-Site Request Forgery)攻撃について

2022/10/31 158 users 備忘メモ フレームワーク 処置 前任者 Webアプリケーション

ふと気になって調べたことの備忘メモです ✍ なぜ調べたか Webアプリケーションの開発に携わっていると CSRF という脆弱性への対処を求められますが、多くの場合利用しているフレームワークが設定追加だけで対応してくれたり、既に前任者によって適切な処置がされていたりなど、実務上で目を向ける機会はその重要性と比較... 続きを読む

今時の CSRF 対策ってなにをすればいいの？ | Basicinc Enjoy Hacking!

2022/08/27 205 users メンション zaru フォージェリ 今時 リクエスト

こんにちは @zaru です。今回は昔からある CSRF (クロスサイト・リクエスト・フォージェリ) の今時の対策についてまとめてみました。もし、記事中に間違いがあれば @zaru まで DM もしくはメンションをください (セキュリティの細かい部分についての理解が乏しい…) 。 そもそも CSRF ってなに？ 昔からインターネットを... 続きを読む

VALUE-DOMAIN に存在していた2種類のドメインハイジャック脆弱性について - debiruはてなメモ

2022/04/12 202 users 続報 アカウント乗っ取り 経緯 メモ 脆弱性

2022年3月2日に確認した VALUE-DOMAIN でのサブドメインハイジャックが可能な脆弱性について経緯を説明します。 ついでに2016年の記事「VALUE-DOMAIN に存在していたアカウント乗っ取り可能な CSRF 脆弱性について」の続報も含めて、この記事で2022年現在の VALUE-DOMAIN の状況についてお伝えします。 脆弱性を2つ発見... 続きを読む

PHPサーバーサイドプログラミングパーフェクトマスターのCSRF対策に脆弱性 | 徳丸浩の日記

2019/07/29 217 users 徳丸浩 CSRF対策 脆弱性 アルゴリズム 日記

サマリPHPサーバーサイドプログラミングパーフェクトマスターには、PHP入門書としては珍しくクロスサイト・リクエストフォージェリ(CSRF)対策についての説明があるが、その方法には問題がある。アルゴリズムとして問題があることに加えて、実装上の問題があり、そのままコピペして用いると脆弱性となる。 はじめに古庄親... 続きを読む

Railsエンジニアのためのウェブセキュリティ入門

2019/04/26 323 users Railsエンジニア クロスサイトスクリプティング XSS

Railsエンジニアのためのウェブセキュリティ入門 1. Railsエンジニアのためのウェブセキュリティ入門 EGセキュアソリューションズ株式会社 代表取締役 徳丸 浩 2. アジェンダ • 3分間クッキングデモ • OSコマンドインジェクション • クロスサイトリクエストフォージェリ(CSRF) • クロスサイトスクリプティング(XSS) • SQ... 続きを読む

Vue + Vue Router + Vuex + Laravel チュートリアル（全16回）を書きました。 - Qiita

2019/01/14 629 users Qiita Laravel Vuex Vue ローディング

学べること Vue.js と Laravel を組み合わせる ルーティングライブラリ Vue Router を取り入れる 状態管理ライブラリ Vuex を取り入れる タブやローディングを作る Vue.js + Laravel の構成でクッキー認証と CSRF 対策を行う SPA でエラー処理を行う こんな人に読んでほしい Vue や Laravel について、 入門書を読んだあ... 続きを読む

PHPプログラマのためのXXE入門 | 徳丸浩の日記

2017/12/24 78 users 徳丸浩 PHPプログラマ ニューラルネットワーク PHP 脅威

この日記は PHP Advent Calendar 2017 の25日目です。前回は@watanabejunyaさんの「 PHPでニューラルネットワークを実装してみる 」でした。 OWASP Top 10 2017 が発表され、ウェブのセキュリティ業界がざわついています。というのも、2013年版までは入っていたCSRFが外され、以下の2つの脅威が選入されたからです。 A4 XML外部実体参照(XX... 続きを読む

Rails セキュリティガイド | Rails ガイド

2017/01/07 199 users セキュリティガイド 概念 セッション Rails マニュアル

このマニュアルでは、Webアプリケーション全般におけるセキュリティの問題と、Railsでそれらの問題を回避する方法について説明します。 このガイドの内容: 本ガイドで取り上げられている問題 に対するあらゆる対策 Railsにおけるセッションの概念、セッションに含まれる項目、セッションに対して行われることの多い攻撃 Webサイトを開くだけでセキュリティ問題が発生するしくみ (CSRF) ファイルの取... 続きを読む

クロスサイトリクエストフォージェリ(CSRF)とその対策手法 (OSC2015Hokkaido版)

2015/06/14 135 users Copyri JPCERT root http 対策手法

Transcript 1. (CSRF) JPCERT/CC( C (yozo.toda@jpcert.or.jp) OSC2015Hokkaido 2. Copyright©2015JPCERT/CC(All(rights(reserved. http://www.tomo.gr.jp/root/e9706.html JPCERT/CC C C C ,( C …… rao 2 3. Copyri... 続きを読む

WordPress、深刻な脆弱性を修正　XSS攻撃の恐れ - ITmedia エンタープライズ

2014/11/21 64 users XSS攻撃 WordPress 脆弱性 XSS 修正

WordPress 4.0.1ではXSSの脆弱性などが修正された。悪用された場合、Webサイトをハッキングされたり、クロルサイトリクエストフォージェリ（CSRF）攻撃を仕掛けられたりする恐れがある。 ブログ作成ソフトの更新版となる「WordPress 4.0.1」が11月20日に公開された。クロスサイトスクリプティング（XSS）などの深刻な脆弱性が修正されており、ユーザーに対して自分のWebサイト... 続きを読む

OAuth2.0で強制連携させるCSRFの影響と、その対策について - 金利0無利息キャッシング – キャッシングできます - subtech

2014/07/24 146 users subtech 周知 利息キャッシング co.jp 金利

OAuth2.0で強制連携させるCSRFについて、いまいち周知が十分でない気がするので解説します。簡単に言うと、複数のid providerによるログインをサポートしているのであれば「CSRFによる外部アカウント強制連携」は、アカウントハイジャックが可能な脆弱性だと考えなくてはいけない、ということです。 このへんの話 http://alpha.mixi.co.jp/2013/12020/ http... 続きを読む

co3k.org - Blog - CSRF 対策用トークンの値にセッション ID そのものを使ってもいい時代は終わりつつある

2014/02/17 187 users 文脈 アプリケーション 前提 用途 リクエスト

CSRF 脆弱性対策には攻撃者の知り得ない秘密情報をリクエストに対して要求すればよく、そのような用途としてはセッション ID がお手軽でいいよねという時代があったかと思います。 いや、もちろん、 CSRF 対策の文脈だけで言えば今も昔も間違いというわけではありません。セッション ID が秘密情報であるのは Web アプリケーションにおいて当然の前提ですので、 CSRF 対策としてリクエストに求める... 続きを読む

ルーターの脆弱性を探して侵入する手順 - 素人がプログラミングを勉強していたブログ

2013/11/04 631 users ルーター プログラミング 手順 脆弱性 SSID

2013-11-04 ルーターの脆弱性を探して侵入する手順 先日紹介した、Satechi Smart Travel Routerだが、ふと直感的にセキュリティに問題があるような予感がしたので、自分のルーターをアタックしてみた。 結果から言うとCSRFが存在し、外部からインターネット越しに細工をしてあるURLを踏ませることで、ルーターのパスワード、SSIDを書き換えたり、WiFi to WiFiのリ... 続きを読む

IPAから「クリックジャッキング」に関するレポート出ました | 徳丸浩の日記

2013/03/29 253 users IPA クリックジャッキング 徳丸浩 レポート 手法

2013年3月29日金曜日 IPAから「クリックジャッキング」に関するレポート出ました Webアプリケーションのセキュリティの分野で「新しい攻撃手法」は実はそれほど多くないのですが、比較的新しく対応が求められているものとしてクリックジャッキングがあります。クリックジャッキングは、CSRFと同じように「Webアプリケーションのサーバー側機能」を利用者（被害者）に実行させる手法です。CSRFは、当該機... 続きを読む

「Aterm」のルーター設定画面にCSRFの脆弱性、ファームアップデートなどを -INTERNET Watch

2013/03/19 58 users Aterm ISEC JVN JPCERT IPA

ニュース 「Aterm」のルーター設定画面にCSRFの脆弱性、ファームアップデートなどを （2013/3/19 18:55） 独立行政法人情報処理推進機構セキュリティセンター（IPA/ISEC）と一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は19日、共同運営する脆弱性情報サイト「JVN（Japan Vulnerability Notes）」において、NEC製の複数の無線... 続きを読む

XMLHttpRequestを使ったCSRF(補足編) - 葉っぱ日記

2013/03/03 181 users XMLHttpRequest MdN CSRF対策 補足編

XMLHttpRequestを使ったCSRF対策 - 葉っぱ日記を書いていて思ったけど、いまいちXHRを使ったCSRF(というかクロスオリジン通信)について理解されていないような感じだったので、ちょっと書いておきます。とりあえず日本語のリソース的には、HTTP access control | MDN が詳しくて、それを読めばだいたい事足りるんで、あとはCSRFに関連しそうな話題だけ。Q. そもそ... 続きを読む

クッキーモンスターバグがあると、IPアドレス偽装防止のCSRF対策が回避される | 徳丸浩の日記

2013/03/01 104 users 徳丸浩 CSRF対策 ITpro 誤認逮捕 日記

2013年3月1日金曜日 クッキーモンスターバグがあると、IPアドレス偽装防止のCSRF対策が回避される 日経Linux 2013年1月号に「“誤認逮捕”を防ぐWebセキュリティ強化術」を書き、それが今週4回連載で、ITproに転載されました。この中で、クロスサイトリクエストフォージェリ(CSRF)対策について説明しましたが、クッキーモンスターバグ(Cookie Monster Bug)がある場合... 続きを読む

なりすまし犯行予告に悪用可能なWebアプリケーション脆弱性 - ockeghemのtumblr

2012/10/16 52 users tumblr ockeghem 悪用 mixi 無線LAN

なりすまし犯行予告が話題になっています。現在問題になっているものは、マルウェアが使われているようですが、それ以外に、無線LANの乗っ取りや、Webアプリケーションの脆弱性悪用などの手法があります。NHKの報道では、クロスサイトリクエストフォージェリ(CSRF)脆弱性が、過去に悪用された事例が紹介されています（ただしmixiの例と思われます）。 また、３つ目として、利用者からの投稿を受け付ける掲示板... 続きを読む

CSRFによる冤罪、誤認逮捕か。大阪市ウェブに大量殺人予告での逮捕の件: ホットコーナーの舞台裏

2012/08/27 475 users jouwa select salon asahi-net 冤罪

ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。 --- 橋下徹市長の大阪市のウェブで「大量殺人をする」と投稿したという容疑で、 アニメ演出家が逮捕された件。 たとえば、 http://mainichi.jp/select/news/20120... 続きを読む

CSRFで強制ログインさせるというアイデア - ぼくはまちちゃん！(Hatena)

2012/05/22 544 users height width 足跡 CSRF脆弱性 IMG SRC

こんにちはこんにちは！！ 今日はCSRF脆弱性のちょっとした話です！ このCSRFってなにかっていうと、 サーバーへのリクエストを『誰かに勝手に送らせる』っていうやつ。 わかりやすいな例だと、 HTMLの画像タグを以下のようにしたページを誰かに教える。 img src="何々SNSのの足跡.php" width="1" height="1"> そうすると、そのページを「見た人」が何々SNSのの足跡... 続きを読む

はまちちゃんと脆弱性報告のあり方 - 世界線航跡蔵

2009/12/13 294 users はまちちゃん 世界線航跡蔵 脆弱性報告 Ameba いたずら

はまちちゃんがいつものごとく、AmebaなうにCSRF脆弱性を発見していたずらを仕掛けた。そして、何故か今回だけ「それは迷惑行為だ」とかなんか騒がしい。私はそもそも、はまちちゃんのいたずらを「隙があったからカンチョー」に喩えるのが程度がおかしいんじゃないかと思う。それで非技術者には話が通じていないのでは?CSRFやSQL Injectionを許していたら、何よりも守るべきユーザーの情報が危険だ。そ... 続きを読む

XSSはブラウザ上でスクリプトが動き、CSRFはサーバー上でスクリプトが動く - ockeghem(徳丸浩)の日記

2007/12/02 269 users 先頭 XSS 脆弱性 整理 ockeghem

昨日の日記で、DK祭りで使われている脆弱性がXSSかCSRFかという問題になった。どうも、XSSとCSRFがごっちゃになっている人もいるように見受けるので、簡単な整理を試みたい。XSSとCSRFには似た点がある。どちらも「クロスサイト」という言葉が先頭につくなりすましのようなことが結果としてできるどちらも受動型攻撃であるそれに対して、もちろん違う点もある。専門家から見れば「似てるも何も、そもそも全... 続きを読む