CSRFè„†å¼±æ€§å¯¾ç– - monjudoh’s diaryCSRF対ç–ã®tokenã¯ã‚»ãƒƒã‚·ãƒ§ãƒ³IDã§è‰¯ã„ ã‚»ã‚ュリティ的ã«ãƒ¯ãƒ³ã‚¿ã‚¤ãƒ トークン>セッションIDã§ã¯ãªã„。 ã¨ã„ã†è©±ãŒã€ã“ã®è¾ºã®è¨˜äº‹ã«æ›¸ã‹ã‚Œã¦ã„ã¾ã™ã€‚ é«˜æœ¨æµ©å…‰ï¼ è‡ªå®…ã®æ—¥è¨˜ - クãƒã‚¹ã‚µã‚¤ãƒˆãƒªã‚¯ã‚¨ã‚¹ãƒˆãƒ•ã‚©ãƒ¼ã‚¸ã‚§ãƒªï¼ˆCSRF)ã®æ£ã—ã„対ç–方法 é«˜æœ¨æµ©å…‰ï¼ è‡ªå®…ã®æ—¥è¨˜ - CSRF対ç–ã«ã€Œãƒ¯ãƒ³ã‚¿ã‚¤ãƒ トークンã€æ–¹å¼ã‚’推奨ã—ãªã„ç†ç”±, hiddenパラメタã¯æ¼ã‚Œã‚„ã™ã„ã®ã‹ï¼Ÿ è‚ã¯ã“ã†ã„ã†äº‹ã®ã‚ˆã†ã§ã™ tokenã¯å¤–部ã®ã‚µã‚¤ãƒˆã‹ã‚‰çŸ¥ã‚Šé›£ã„(実質知り得ãªã„)ã‚‚ã®ã§ãªã„ã¨ã„ã‘ãªã„ セッションIDã¯cookieã«æ ¼ç´ã•ã‚Œã‚‹ document.cookieã¯è‡ªãƒ‰ãƒ¡ã‚¤ãƒ³ã®ã‚‚ã®ã¨è¦ªãƒ‰ãƒ¡ã‚¤ãƒ³ã®ã‚‚ã®ã—ã‹è¦‹ã‚Œãªã„→外部サイトã§å‹•ã‹ã™JavaScriptã‹ã‚‰ã¯å‚ç…§ã§ããªã„ セッションIDã¯ã€Žæš—å·å¦çš„ã«å®‰å…¨ãªæ“¬ä¼¼ä¹±æ•°ç”Ÿæˆç³»ã§ç”Ÿæˆã•ã‚Œã¦ã„ã‚‹ã¯ãšã€(引用) 推測も事実上ã§ããªã„ 補足ã™ã‚‹ã¨ã€ã‚»ãƒƒã‚·ãƒ§ãƒ³IDを使用ã—ãŸCSRF対
昨日騒ãŽã«ãªã£ãŸTwitterã®XSS脆弱性ã«ã‚ˆã£ã¦å®Ÿéš›ã«å—ã‘ãã†ãªè¢«å®³ã¨ãã®å¯¾ç– - monjudoh’s diary
XSSã®æ”»æ’ƒæ‰‹æ³•ã„ã‚ã„ã‚ - ã†ãªã®æ—¥è¨˜
XSS (Cross Site Scripting) Cheat Sheet
XSSã¨ã‚»ã‚ュリティリスクã¨æ£ã—ã„è„†å¼±æ€§å ±å‘Šã®ã‚ã‚Šæ–¹ - 最速転è·ç ”究会
XSSã¨ã‚»ã‚ュリティリスク - ã¼ãã¯ã¾ã¡ã¡ã‚ƒã‚“ï¼
PHPã§èª°ã§ã‚‚ç°¡å˜Webサービス製作ï¼ã§ãªã‚“ã‹ä½œã£ã¦å…¬é–‹ã—ãŸå¥´ã¡ã‚‡ã£ã¨æ¥ã„ - 甘味志å‘ï¼ ã¯ã¦ãª
ã¨ãã¾ã‚‹ã²ã‚ã—ã®Session Fixation攻撃入門 - ockeghem's blog
第1回 UTF-7ã«ã‚ˆã‚‹ã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング攻撃[å‰ç·¨ï¼½ | gihyo.jp
Paros使ã£ã¦ã¿ãŸ - Do You PHP ã¯ã¦ãƒ–ãƒ
ï¼»ã•ã‚‰ã«æ°—ã«ãªã‚‹ï¼½JSONã®å®ˆã‚Šæ–¹
第3回 US-ASCIIã«ã‚ˆã‚‹ã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング | gihyo.jp
世間ã®èªè˜ã¨è„…å¨ãƒ¬ãƒ™ãƒ«ã®ã‚®ãƒ£ãƒƒãƒ—――XSSã¯æœ¬å½“ã«å±ãªã„ã‹ï¼Ÿ
第5回 クãƒã‚¹ã‚µã‚¤ãƒˆãƒ»ã‚¹ã‚¯ãƒªãƒ—ティング対ç–も忘れãšã«
{{#tags}}- {{label}}
{{/tags}}