tDiary.org
tDiary 2.0.2(安定版)ã€2.1.2(開発版)をリリースã—ã¾ã—ãŸã€‚ ã“ã®ãƒªãƒªãƒ¼ã‚¹ã®ç›®çš„ã¯ã€ä¸»ã«è„†å¼±æ€§å¯¾ç–ã§ã™ã€‚脆弱性ã®å†…容ã«ã¤ã„ã¦ã¯è„†å¼±æ€§ã«é–¢ã™ã‚‹å ±å‘Š(2005-07-20)ã‚’ã”覧下ã•ã„。対象ã¨ãªã‚‹ãƒãƒ¼ã‚¸ãƒ§ãƒ³ã‚’ãŠä½¿ã„ã®æ–¹ã¯ã€æœ€æ–°ç‰ˆã¸ã®ãƒãƒ¼ã‚¸ãƒ§ãƒ³ã‚¢ãƒƒãƒ—ã‚’å¼·ã推奨ã—ã¾ã™ã€‚ →ダウンãƒãƒ¼ãƒ‰ CSRF攻撃対ç–ã«ä¼´ãªã£ã¦å¿…è¦ãªåˆ©ç”¨è€…ã®å¯¾å¿œ (以下ã®è§£èª¬ã¯ã€ä»Šå›žã®è„†å¼±æ€§ã®å ±å‘Šè€…ã§ã‚る産æ¥æŠ€è¡“ç·åˆç ”究所 æƒ…å ±ã‚»ã‚ãƒ¥ãƒªãƒ†ã‚£ç ”ç©¶ã‚»ãƒ³ã‚¿ãƒ¼ã®å¤§å²©å¯›æ°ã«ã‚ˆã‚‹ãƒ‰ã‚ュメントをベースã«ã—ã¦ã„ã¾ã™) tDiary 2.0.2ã€tDiary 2.1.2以é™ã§ã¯ã€ã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆãƒ»ãƒªã‚¯ã‚¨ã‚¹ãƒˆãƒ»ãƒ•ã‚©ãƒ¼ã‚¸ã‚§ãƒª(CSRF)攻撃ã«å¯¾ã™ã‚‹å¯¾ç–ãŒå°Žå…¥ã•ã‚Œã¦ã„ã¾ã™ã€‚対ç–内容ã¯ä»¥ä¸‹ã®3点ã§ã™: 日記ã®æ›´æ–°ãƒ»è¨å®šã®å¤‰æ›´ãŒPOSTメソッドã§è¡Œã‚ã‚Œã¦ã„ã‚‹ã“㨠Refererã®å€¤ãŒæ£å½“ãªã‚‚ã®ã§ã‚ã‚‹ã“㨠フォームã«åŸ‹ã‚è¾¼ã¾ã‚ŒãŸ(攻撃者ãŒçŸ¥ã‚Šãˆãª
JVN#60776919: tDiary ã«ãŠã‘るクãƒã‚¹ã‚µã‚¤ãƒˆãƒ»ãƒªã‚¯ã‚¨ã‚¹ãƒˆãƒ»ãƒ•ã‚©ãƒ¼ã‚¸ã‚§ãƒªã®è„†å¼±æ€§
tDiary 開発プãƒã‚¸ã‚§ã‚¯ãƒˆã«ã‚ˆã‚Šæä¾›ã•ã‚Œã¦ã„ã‚‹ Web 日記支æ´ã‚½ãƒ•ãƒˆ tDiary ã«ã¯ã€ã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆãƒ»ãƒªã‚¯ã‚¨ã‚¹ãƒˆãƒ»ãƒ•ã‚©ãƒ¼ã‚¸ã‚§ãƒª (Cross Site Request Forgeries, CSRF)ãŒå¯èƒ½ãªè„†å¼±æ€§ãŒå˜åœ¨ã—ã¾ã™ã€‚
CSRF è„†å¼±æ€§å¯¾ç– - Another æœé¡”日記
d:id:nyama:20041227:1104116475 ã¨ã‹ã§æ›¸ã„ã¦ã„ãŸè„†å¼±æ€§ãŒã‚ˆã†ã‚„ãä¿®æ£ã•ã‚ŒãŸæ¨¡æ§˜ã€‚以å‰ã¯ä»¥ä¸‹ã®ã‚ˆã†ãªå†…容ãŒæ›¸ã‹ã‚ŒãŸ html ファイルã§ã€ãƒœã‚¿ãƒ³ã‚’クリックãªã‚“ã‹ã™ã‚‹ã¨æ—¥è¨˜ã‚’å‹æ‰‹ã«æ›´æ–°ã•ã›ã‚‹ã“ã¨ãŒå¯èƒ½ã ã£ãŸã€‚試ã—ã¦ã¿ãŸã¨ã“ã‚今ã¯å¤§ä¸ˆå¤«ã§ã™ã€‚ <form method="post" action="http://d.hatena.ne.jp/nyama/edit" enctype="multipart/form-data"> <p>10秒経ã£ã¦ã‚‚変ã‚らãªã„ã¨ãã¯ãƒœã‚¿ãƒ³ã‚’クリック! <input type="hidden" name="mode" value="enter" /> <input type="hidden" name="timestamp" value="20040913173912" /> <input type="hidden" name="date
ã¯ã¦ãªã®è„†å¼±æ€§ï¼Ÿ - Another æœé¡”日記
id:honmal:20041226#p1 ã¨ã€id:bakken:20041226#p3 ã‚’èªã‚€ã¨ã€id:bakken ã•ã‚“ã¨ã“ã‚ãŒä½•è€…ã‹ã«ã‚ˆã£ã¦æ›¸ãæ›ãˆã‚‰ã‚ŒãŸã‚ˆã†ã 。id:nyama:20040913#1095064759 ã§æ›¸ã„ãŸã€ãƒªãƒ•ã‚¡ãƒ©ã‚’切ã£ã¦ã„ã‚‹ã¨ã¯ã¦ãªãƒ€ã‚¤ã‚¢ãƒªãƒ¼ã®ä¸æ£ãªè‡ªå‹•æ“作ã«ã¤ã„ã¦ã®è„†å¼±æ€§ã«ã¤ã„㦠ã¯è‡ªåˆ†ã®ã¯ã¦ãªãƒ€ã‚¤ã‚¢ãƒªãƒ¼ã§å®Ÿé¨“ã—ã¦ã¿ã‚‹é™ã‚Šã„ã¾ã æ²»ã£ã¦ã„ãªã„よã†ã ã—ã€ã‚‚ã—ã‹ã—ã¦ãã‚Œã ã‚ã†ã‹ã€‚ã‚‚ã—ãã†ã§ã‚ã‚Œã°ã€ãƒ‘スワードを変ãˆã¦ã‚‚æ ¹æœ¬çš„ã«è§£æ±ºã«ã¯ãªã‚Šã¾ã›ã‚“。>id:bakken ã•ã‚“ ãã‚Œã«ã—ã¦ã‚‚ã“ã®ä»¶ã«ã¤ã„ã¦ã¯9月ã«ã¯ã¦ãªå®›ã«ãƒ¡ãƒ¼ãƒ«ã—ãŸã‚“ã§ã™ãŒã€ã„ã¾ã 音沙汰も無ã„ã—èªã¾ã‚Œã¦ã„ãªã„ã®ã‹ãªã。> id:hatenadiary
ã¯ã¦ãªå„サービス㮠CSRF 脆弱性対ç–ã«ã¤ã„㦠- ã¯ã¦ãªãƒ€ã‚¤ã‚¢ãƒªãƒ¼æ—¥è¨˜
先日よりã€ã¯ã¦ãªå„サービスã«ãŠã‘ã‚‹ CSRF 脆弱性ã®å¯¾ç–方法を見直ã—ã¦ãŠã‚Šã¾ã™ã€‚ã“ã‚Œã¾ã§ã¯ãƒªãƒ•ã‚¡ãƒ©ã‚’ãƒã‚§ãƒƒã‚¯ã™ã‚‹æ–¹æ³•ã‚’採用ã—ã¦ãŠã‚Šã¾ã—ãŸãŒã€ã“ã®æ–¹æ³•ã¯å¯¾ç–ã¨ã—ã¦ã¯ä¸å分ãªç‚¹ãŒã‚ã‚Šã€æ–°ãŸã« POST ã«ã‚ˆã‚‹ãƒ‡ãƒ¼ã‚¿ã®é€ä¿¡æ™‚ã€ã‚»ãƒƒã‚·ãƒ§ãƒ³IDを用ã„ãŸæ¤œæŸ»ã‚’è¡Œã†æ–¹æ³•ã‚’採用ã—ã¦ãŠã‚Šã¾ã™ã€‚ ç¾åœ¨ã€å„サービスã§ã®å¯¾å¿œãŒã»ã¼å®Œäº†ã—ã¦ãŠã‚Šã¾ã™ã€‚サードパーティ製ã®ãƒ„ールãªã©ã€å¤–部ã‹ã‚‰ç›´æŽ¥ãƒ‡ãƒ¼ã‚¿ã‚’ POST ã—ã¦ã„るアプリケーションãªã©ãŒã€ä»Šå›žã®å¤‰æ›´ã«ã‚ˆã‚Šå‹•ä½œã—ããªã£ã¦ã„ã‚‹å¯èƒ½æ€§ãŒã”ã–ã„ã¾ã™ãŒã€ã¯ã¦ãªå„サービスã®å®‰å…¨æ€§å‘上ãŒç›®çš„ã®å¤‰æ›´ã¨ãªã‚Šã¾ã™ã®ã§ã€ã”了承ã„ãŸã ã‘ã‚Œã°å¹¸ã„ã§ã™ã€‚ ãªãŠã€ã‚»ãƒƒã‚·ãƒ§ãƒ³ID 㯠Cookie ã«ä¿å˜ã•ã‚Œã¦ã„ã‚‹ rk パラメータã®å€¤ã‚’ MD5 BASE64 ã§ã‚·ãƒªã‚¢ãƒ©ã‚¤ã‚ºã—ãŸå€¤ã«ãªã‚Šã¾ã™ã€‚Cookie ã‚’å–å¾—å¯èƒ½ãªã‚µãƒ¼ãƒ‰ãƒ‘ーティ製ツールã§ã‚ã‚Œã°ã€rk パラメータをエンコードã—ãŸå€¤ã‚’ rk
Hiki - Hiki Advisory 2005-07-14 - Hiki ã®è„†å¼±æ€§ã«é–¢ã™ã‚‹å ±å‘Š
Hiki is a powerful and fast wiki clone written in Ruby. The latest stable version is 0.8.8.1. 2009-08-16 Hiki 0.8.8.1 released ->Download ->This version fixes a DoS vulnerability of Wiki style's parser. Upgrade to 0.8.8.1 is highly recomended. If you already installed 0.8.8, the followings are only modified program files, and wish to contribute to this wiki, feel free to add your, just make sure t
ã¯ã¦ãªã‚¢ã‚¤ãƒ‡ã‚¢ã®CSRF - 日記ã•ã‚“ Reloaded
å¯ã‚‹å‰ã«æ°—ã«ãªã£ã¦å®Ÿè¨¼ã‚³ãƒ¼ãƒ‰æ›¸ãã‹ã©ã†ã‹æ‚©ã¿ã¤ã¤ç¡çœ è–¬ã®åŠ›ã«è² ã‘ã¦å¯ã¦ã—ã¾ã£ãŸã‚ã‘ã§ã™ãŒã€ã‚„ã£ã±ã‚Šãƒ€ãƒ¡ã§ã™ãŸ(苦笑)。今日ã¯å…¬è´ä¼šã ã‹ã‚‰å¯¾å‡¦ã¯ãƒ˜ã‚¿ã™ã‚‹ã¨é€£ä¼‘明ã‘ã‹ãƒ¼ï¼Ÿ ã‚ã‚“ã¾ã‚Šã„ãŸãšã‚‰ã¯ã—ãªã„よã†ã«ã—よã†ã。ã¼ãã¯ã¾ã¡ã¡ã‚ƒã‚“ï¼ ã“ã‚“ã«ã¡ã¯ã“ã‚“ã«ã¡ã¯ï¼ï¼(ãˆãƒ¼ ã¡ãªã¿ã«XSS脆弱性㯠ãªã„よã†ã«è¦‹ãˆã¾ã™ã€‚
ã¯ã¦ãªã‚¢ã‚¤ãƒ‡ã‚¢
ã¯ã¦ãªã‚¢ã‚¤ãƒ‡ã‚¢ サービス終了ã®ãŠçŸ¥ã‚‰ã› å¹³ç´ ã‚ˆã‚Šã€Œã¯ã¦ãªã‚¢ã‚¤ãƒ‡ã‚¢ã€ã‚’ã”利用ã„ãŸã ãã€ã‚ã‚ŠãŒã¨ã†ã”ã–ã„ã¾ã™ã€‚ è¦æœ›çª“å£ã‚µãƒ¼ãƒ“ス「ã¯ã¦ãªã‚¢ã‚¤ãƒ‡ã‚¢ã€ã¯2013å¹´7月31日(水)をもã¡ã¾ã—ã¦çµ‚了ã„ãŸã—ã¾ã—ãŸã€‚8å¹´ã«ã‚ãŸã‚‹è©¦é¨“é‹ç”¨ã«ã”å”力ã„ãŸã ãã€ã‚ã‚ŠãŒã¨ã†ã”ã–ã„ã¾ã—ãŸã€‚ ã“ã‚Œã¾ã§ã”利用ã„ãŸã ãã¾ã—ãŸãƒ¦ãƒ¼ã‚¶ãƒ¼ã®çš†ã•ã¾ã«æ·±ãæ„Ÿè¬ã„ãŸã—ã¾ã™ã€‚ èª ã«ã‚ã‚ŠãŒã¨ã†ã”ã–ã„ã¾ã—ãŸã€‚ 詳ã—ãã¯ä¸‹è¨˜ã‚’ã”覧ãã ã•ã„。 http://hatena.g.hatena.ne.jp/hatenaidea/20130731/1375250394
çµå±€ã€CSRFã£ã¦ä½•ã ã£ãŸã®ï¼Ÿ - 葉ã£ã±æ—¥è¨˜
先週末ã‹ã‚‰ä¸–間を騒ãŒã›ãŸ CSRF ã£ã¦çµå±€ä½•ã ã£ãŸã®ã§ã—ょã†ã€‚ã‚ã‹ã‚Šã‚„ã™ã„解説記事㌠@IT ã«å‡ºã¦ã„ã¾ã—ãŸã€‚ 「ã¼ãã¯ã¾ã¡ã¡ã‚ƒã‚“〠――知られã–ã‚‹CSRF攻撃:Security&Trust ウォッãƒï¼ˆ33) - ï¼ IT mixiã§ã®ã¯ã¾ã¡ã¡ã‚ƒã‚“ã«é–¢ã—ã¦ã€ã‹ãªã‚Šã‚ã‹ã‚Šã‚„ã™ã書ã‹ã‚Œã¦ã„ã¾ã™ã€‚具体的ãªHTMLã®è¨˜è¼‰ãŒãªã„ã®ãŒæ®‹å¿µã§ã™ã€‚ ã•ã¦ã€ã¯ã¾ã¡ã¡ã‚ƒã‚“ã®è©³ç´°ã‚’書ãã®ã‚‚アレã§ã™ã®ã§ã€å®Ÿéš›ã«ä»–ã®ã‚¢ãƒ³ã‚±ãƒ¼ãƒˆã‚µã‚¤ãƒˆã§ã‚ã£ãŸ CSRF ã®äº‹ä¾‹ã‚’ã‚‚ã¨ã«ã€ã‚‚ã†å°‘ã—具体的ã«CSRFã«ã¤ã„ã¦æ›¸ã„ã¦ã¿ã¾ã—ょã†ã€‚ ã¨ã‚ã‚‹ã“ã¨ã«ã¤ã„ã¦é•å’Œæ„Ÿã®æœ‰ç„¡ã‚’å•ã†ã‚¢ãƒ³ã‚±ãƒ¼ãƒˆãªã®ã§ã™ãŒã€ã“ã‚Œã®HTMLソースã¯æ¬¡ã®ã‚ˆã†ã«ãªã£ã¦ã„ã¾ã—ãŸã€‚(主è¦ãªéƒ¨åˆ†ã®ã¿) <form action=1.cgi method=post> <tr> <td>ãªã¾ãˆï¼š</td> <td><input type=text name=n size=30>
é«˜æœ¨æµ©å…‰ï¼ è‡ªå®…ã®æ—¥è¨˜ - クãƒã‚¹ã‚µã‚¤ãƒˆãƒªã‚¯ã‚¨ã‚¹ãƒˆãƒ•ã‚©ãƒ¼ã‚¸ã‚§ãƒªï¼ˆCSRF)ã®æ£ã—ã„対ç–方法
■クãƒã‚¹ã‚µã‚¤ãƒˆãƒªã‚¯ã‚¨ã‚¹ãƒˆãƒ•ã‚©ãƒ¼ã‚¸ã‚§ãƒªï¼ˆCSRF)ã®æ£ã—ã„対ç–方法 「クãƒã‚¹ã‚µã‚¤ãƒˆãƒªã‚¯ã‚¨ã‚¹ãƒˆãƒ•ã‚©ãƒ¼ã‚¸ã‚§ãƒªã€ãŒã«ã‚ã‹ã«æ³¨ç›®ã‚’集ã‚ã¦ã„る。å¤ã ã‹ã‚‰å˜åœ¨ã—ãŸã“ã®å•é¡ŒãŒãªãœä»Šã¾ã§ã‚ã¾ã‚Šæ³¨ç›®ã•ã‚Œã¦ã“ãªã‹ã£ãŸã‹ã«ã¤ã„ã¦è€ƒ ãˆã¦ã„ã‚‹ã¨ã“ã‚ã ãŒã€å¼•è¶Šã—やら転勤やらã§ã„ã¾ã²ã¨ã¤æ—¥è¨˜ã‚’書ã時間ãŒãªã„。 ã—ã‹ã—〠@ITã®è¨˜äº‹ãªã©ã®ã‚ˆã†ã«æ··ä¹±ã•ã›ã‚‹è§£èª¬ã‚‚散見ã•ã‚Œã‚‹ã®ã§ã€ä¸€ç‚¹ã ã‘å¯¾ç– æ–¹æ³•ã«ã¤ã„ã¦æ›¸ã„ã¦ãŠãã¨ã™ã‚‹ã€‚ クãƒã‚¹ã‚µã‚¤ãƒˆãƒªã‚¯ã‚¨ã‚¹ãƒˆãƒ•ã‚©ãƒ¼ã‚¸ã‚§ãƒªâ€•â€•Cross-Site Request Forgeries (CSRF)を防æ¢ã™ã‚‹ç°¡æ½”ã§è‡ªç„¶ãªè§£æ±ºç–ã¯ä»¥ä¸‹ã®ã¨ãŠã‚Šã§ã‚る。 å‰æ ãƒã‚°ã‚¤ãƒ³ã—ã¦ã„ãªã„Web閲覧者ã«å¯¾ã™ã‚‹CSRF攻撃(掲示æ¿è’らã—ã‚„ã€ãƒ¦ãƒ¼ã‚¶ç™» 録を他人ã«ã•ã›ã‚‹ç‰ã€ã‚µã‚¤ãƒˆé‹å–¶è€…ã«å¯¾ã™ã‚‹æ¥å‹™å¦¨å®³è¡Œç‚ºï¼‰ã¯ã“ã“ã§ã¯å¯¾è±¡ã¨ ã—ãªã„。 ãƒã‚°ã‚¤ãƒ³æ©Ÿèƒ½ã‚’æŒã¤Webアプリケーションã®å ´åˆã€ä½•ã‚‰ã‹ã®æ–¹æ³•ã§ã‚»ãƒƒã‚·ãƒ§ãƒ³ 追
@IT: 「ã¼ãã¯ã¾ã¡ã¡ã‚ƒã‚“〠――知られã–ã‚‹CSRF攻撃
ã‚ã‚‹æ—¥ã€å¤§æ‰‹SNS(Social Networking Site)ã®mixiã®æ—¥è¨˜ã«ã“ã®ã‚ˆã†ãªæ›¸ãè¾¼ã¿ãŒã‚ã£ãŸã€‚ãれも1人ã ã‘ã§ãªãã€åŒæ—¥ã«æ•°å¤šãã®ãƒ¦ãƒ¼ã‚¶ãƒ¼ã®æ—¥è¨˜ã«åŒã˜æ–‡é¢ãŒæŽ²è¼‰ã•ã‚Œã¦ã„ãŸã€‚ ã“ã‚Œã¯ã€å˜ã«ã“ã®ã‚ˆã†ãªæ–‡ç« ãŒã¯ã‚„ã‚Šã€ãƒ¦ãƒ¼ã‚¶ãƒ¼è‡ªèº«ãŒæ„図ã—ã¦æŽ²è¼‰ã—ãŸã®ã§ã¯ãªãã€ã‚る仕掛ã‘ã«ã‚ˆã£ã¦ãƒ¦ãƒ¼ã‚¶ãƒ¼è‡ªèº«ãŒæ°—付ã‹ãªã„ã†ã¡ã«å¼•ãèµ·ã“ã•ã‚ŒãŸç¾è±¡ãªã®ã§ã‚る。ãã®ä»•æŽ›ã‘ã¨ã¯ã€CSRF(Cross-Site Request Forgeries)ã¨å‘¼ã°ã‚Œã‚‹æ”»æ’ƒæ‰‹æ³•ã®ä¸€ç¨®ã 。 編集部注: ç¾åœ¨ã€ã€Œã¯ã¾ã¡ã¡ã‚ƒã‚“ã€ãƒˆãƒ©ãƒƒãƒ—ã¯ã€mixié‹å–¶è€…ã«ã‚ˆã‚Šå¯¾ç–ã•ã‚Œã¦ã„ã¾ã™ã€‚上記ã®ã‚µãƒ³ãƒ—ルã¯ã€mixi風ã«å†æ§‹æˆã—ãŸã‚‚ã®ã§ã™ã€‚ 本稿ã®å†…容を検証ã™ã‚‹å ´åˆã¯ã€å¿…ãšå½±éŸ¿ã‚’åŠã¼ã•ãªã„é™ã‚‰ã‚ŒãŸç’°å¢ƒä¸‹ã§è¡Œã£ã¦ä¸‹ã•ã„。ã¾ãŸã€æœ¬ç¨¿ã‚’利用ã—ãŸè¡Œç‚ºã«ã‚ˆã‚‹å•é¡Œã«é–¢ã—ã¾ã—ã¦ã¯ã€ç†è€…ãŠã‚ˆã³ã‚¢ã‚¤ãƒ†ã‚£ãƒ¡ãƒ‡ã‚£ã‚¢æ ªå¼ä¼šç¤¾ã¯ä¸€åˆ‡è²¬ä»»ã‚’è² ã„ã‹ãã¾ã™ã€‚ã”了承ãã ã•ã„
2005-04-21
2005-04-21 サークルクラッシャー刃牙 雑記 サークルã§ã¯ãªã„ã‚“ã ãŒã€æ˜”ã¨ã‚るコミュニティã§å‹æ‰‹ã«å…„弟増やã™ã‚¢ãƒ¬ãªå¥³ãŒã„ãŸã€‚状æ³ãŒæŠŠæ¡ã§ããªããªã£ã¦ããŸã®ã§å…„弟ãŒ10人ã«é”ã—ãŸã‚‰ãƒ¡ãƒ¼ãƒªãƒ³ã‚°ãƒªã‚¹ãƒˆä½œã‚ã†ã‹ã¨ã‹ãã‚“ãªè©±ã‚’ã—ã¦ã„ãŸ(作らãªã‹ã£ãŸã‘ã©)。ã—ã‹ã—女ã£ã¦ã©ã†ã—ã¦ãƒ™ãƒƒãƒ‰ã®ä¸Šã§å‰ã®ç”·ã®Ã—×… 2005-04-21 mixi ã®ã‚»ã‚ュリティーホール(ãã®3) web [id:rna:20050420#p1] ã®è¿½è¨˜ã«æ›¸ã„ãŸã‚ˆã†ã«17:00é ƒã«ã€æ®‹ã£ã¦ã„ãŸç©´ã®ã†ã¡åƒ•ãŒæŠŠæ¡ã—ã¦ã„る分ã«ã¤ã„ã¦ã¯å¯¾ç–ãŒã¨ã‚‰ã‚ŒãŸã‚ˆã†ã§ã™ã€‚ã¾ãšã¯ãŠç–²ã‚Œã•ã¾ã¨ã„ã†ã“ã¨ã§ã€‚ã§ã™ãŒã€mixi ã®ã“ã‚Œã¾ã§ã®å¯¾å¿œã®ã—ã‹ãŸã«ã¯ç–‘å•ãŒæ®‹ã‚Šã¾ã™ã—ã€ãれゆãˆåƒ•ãŒèª¿ã¹ã¦ãªã„部分ã®â€¦
MT 㧠CSRF | 水無月ã°ã‘らã®ãˆã³æ—¥è¨˜
æ›´æ–°: 2005å¹´7月18æ—¥ ã¡ã‚‡ã„㨠Movable Type ã®è©±ã‚’ã—ã¦ã„㦠yuuã•ã‚“ (w3j.org)ã«æ•™ãˆã¦ã„ãŸã ã„ãŸã®ã§ã™ãŒã€Movable Type ã«ã¯ CSRF攻撃ã®å•é¡ŒãŒã‚ã‚‹ã¿ãŸã„ã§ã™ã。「MT をインストールã—ãŸã‚‰çœŸã£å…ˆã«è¡Œã†ã¹ãã‚»ã‚ãƒ¥ãƒªãƒ†ã‚£å¯¾ç– (hxxk.jp)〠※2005-07-18追記: リンク先ã®è¨˜äº‹ã¯ãƒ‘ワーアップã—ã¦ç§»å‹•ã—ã¦ã„るよã†ã§ã™ : 「Movable Type ã«ãŠã‘ã‚‹ CSRF ã®å¯èƒ½æ€§ã¨å„種対処法 (hxxk.jp)〠ã—ã‹ã—ã€ã¡ã‚ƒã‚“㨠CSRF ã¨ã„ã†åå‰ãŒã‚ã‚‹ã®ã«å…¨ç„¶å‡ºã¦ã“ãªã„ã¨ã„ã†ã®ãŒâ€¦â€¦ã€‚ã“ã®åå‰ã¯ã‚ã‚“ã¾ã‚Šä¸€èˆ¬çš„ã§ã¯ãªã„ã®ã‹ãªã。 ※XSS ã«æ¯”ã¹ã‚‹ã¨é™ã‹ã«ãƒžã‚¤ãƒŠãƒ¼ã ã¨ã¯æ€ã„ã¾ã™ãŒã€‚ã¡ãªã¿ã« CSRF ã¨ã„ã†ã®ã¯ "Cross-Site Request Forgeries" ã®ç•¥ã§ã€è¦ã™ã‚‹ã«ã€Œç·¨é›†ã€ã€Œå‰Šé™¤ã€ãªã©ã®ã‚³ãƒžãƒ³ãƒ‰ã‚’実行ã™ã‚‹ã‚ˆ
CSRF | 鳩丸ãã‚ã£ã•ã‚Š (用語集)
用語「CSRFã€ã«ã¤ã„ã¦CSRF (ã—ーãˆã™ã‚ーるãˆãµ)話題 : ã‚»ã‚ュリティ CSRF 㯠Cross Site Request Forgeries ã®ç•¥ã§ã™ã€‚"forgery" ã¯å½é€ ã®æ„味ã§ã€ã‚µã‚¤ãƒˆã‚’ã¾ãŸãŒã£ã¦æé€ ã•ã‚ŒãŸæ”»æ’ƒãƒªã‚¯ã‚¨ã‚¹ãƒˆã‚’é€ä¿¡ã™ã‚‹ã€ã¨ã„ã†ç¨‹åº¦ã®æ„味ã«ãªã‚Šã¾ã™ã€‚ ※ã¡ãªã¿ã«ã€CSRF ã¯ã€Œã‚·ãƒ¼ã‚µãƒ¼ãƒ•ã€ã¨ç™ºéŸ³ã™ã‚‹ã®ã ã¨ã„ã†èª¬ã‚‚ã‚ã‚Šã¾ã™ãŒã€å°‘ãªãã¨ã‚‚日本ã§ã¯ã€Œã—ーãˆã™ã‚ーるãˆãµã€ã¨å‘¼ã¶æ–¹ãŒä¸»æµã®ã‚ˆã†ã§ã™ã€‚ ãŸã¨ãˆã°ã€blog ãªã©ã¯ Web 上ã®ç®¡ç†ç”»é¢ã§è¨˜äº‹ã®å‰Šé™¤ãŒã§ãるよã†ã«ãªã£ã¦ã„ã¾ã™ã€‚削除を実行ã™ã‚‹ã«ã¯ã€å‰Šé™¤ã‚’è¡Œã†ã‚ˆã†ãª HTTP ã®ãƒªã‚¯ã‚¨ã‚¹ãƒˆã‚’サーãƒã«é€ã‚Œã°è‰¯ã„ã®ã§ã™ãŒã€ã“ã®ç”»é¢ã¯ Cookie ãªã‚Šã€Basic èªè¨¼ãªã‚Šã§ã‚¢ã‚¯ã‚»ã‚¹åˆ¶å¾¡ãŒã•ã‚Œã¦ã„ã¾ã™ã€‚ãã®ãŸã‚ã€æ£è¦ã®ãƒ¦ãƒ¼ã‚¶ä»¥å¤–ãŒå‰Šé™¤ã®ãƒªã‚¯ã‚¨ã‚¹ãƒˆã‚’é€ã£ã¦ã‚‚何も起ãã¾ã›ã‚“。ãƒã‚°ã‚¤ãƒ³æ¸ˆã¿ã®æ£è¦ã®ãƒ¦ãƒ¼ã‚¶ãŒã€Œå‰Šé™¤ã€ã®ãƒªã‚¯ã‚¨ã‚¹
2005-04-21
ã¨ã‚Šã‚ãˆãšã€æ‰‹å…ƒã«Webサーãƒã‚’ç«‹ã¡ä¸Šã’ãªã„ã“ã¨ã«ã¯é€²ã¿ã¾ã›ã‚“ã§ã™ã€‚ Gmailã®æ·»ä»˜ãƒ•ã‚¡ã‚¤ãƒ«ã§ã¯ã€ã†ã¾ãå†ç¾ã§ãã¾ã›ã‚“ã§ã—ãŸã€‚ ã¯ã¦ãªã§ã¯ã€ç”»åƒãŒæ›¸ãæ›ãˆã‚‰ã‚Œã‚‹ãŸã‚ã€PNGã‚‚JPGã‚‚ã ã‚ã§ã—ãŸã€‚ ã£ã¦ã‚ã‘ã§ã€æ˜Žæ—¥ã«ã§ã‚‚Webサーãƒã‚’用æ„ã—ã¦ã¿ã‚‹ã¤ã‚‚ã‚Šã§ã™ã€‚ …å†ç¾ã§ãã¾ã—ãŸã€‚今ã‹ã‚‰å ±å‘Šã ã—ã¾ã™ã€‚(02:36AM) > 誰ã¨ãªã。 ã«ãªã£ãŸã‚Šæˆ»ã£ãŸã‚Šã—ã¦ã¾ã™ãŒã€ãŠæ°—ã«ãªã•ã‚‰ãšã«ã€‚ ã®ã§ã€å¯ã¾ã™ã€‚ãŠã‚„ã™ã¿ãªã•ã„。 内容ã«èª¤ã‚ŠãŒã‚ã‚Œã°è£œè¶³ã‚’ãŠé¡˜ã„ã„ãŸã—ã¾ã™ã€‚ 帰宅。
メンテナンス
ãŠçŸ¥ã‚‰ã›
障害
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
http://www.h14m.org/SA/2005/hns-SA-2005-01.txt
「tDiaryã€ã«ã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆãƒ»ãƒªã‚¯ã‚¨ã‚¹ãƒˆãƒ»ãƒ•ã‚©ãƒ¼ã‚¸ã‚§ãƒªã®è„†å¼±æ€§
ã¬ã‹ã‚‹ã¿æ—¥è¨˜
Administrative Quarantine
mixi 㧠CSRF | 水無月ã°ã‘らã®ãˆã³æ—¥è¨˜
{{#tags}}- {{label}}
{{/tags}}