超絶技巧CSRF / Shibuya.XSS techtalk #7CSRF, HTML Form Protocol Attack, Cross-protocol scripting attackã«ã¤ã„ã¦
CSRFã§å¼·åˆ¶ãƒã‚°ã‚¤ãƒ³ã•ã›ã‚‹ã¨ã„ã†ã‚¢ã‚¤ãƒ‡ã‚¢ - ã¼ãã¯ã¾ã¡ã¡ã‚ƒã‚“ï¼
ã“ã‚“ã«ã¡ã¯ã“ã‚“ã«ã¡ã¯ï¼ï¼ 今日ã¯CSRF脆弱性ã®ã¡ã‚‡ã£ã¨ã—ãŸè©±ã§ã™ï¼ ã“ã®CSRFã£ã¦ãªã«ã‹ã£ã¦ã„ã†ã¨ã€ サーãƒãƒ¼ã¸ã®ãƒªã‚¯ã‚¨ã‚¹ãƒˆã‚’『誰ã‹ã«å‹æ‰‹ã«é€ã‚‰ã›ã‚‹ã€ã£ã¦ã„ã†ã‚»ã‚ュリティãŒã‚‰ã¿ã®æ”»æ’ƒæ‰‹æ³•ã®ã²ã¨ã¤ã€‚ ã‚ã‹ã‚Šã‚„ã™ã„例ã ã¨ã€ HTMLã®ç”»åƒã‚¿ã‚°ã‚’以下ã®ã‚ˆã†ã«ã—ãŸãƒšãƒ¼ã‚¸ã‚’誰ã‹ã«æ•™ãˆã‚‹ã€‚ <img src="何々SNSã®è¶³è·¡.php" width="1" height="1"> ãã†ã™ã‚‹ã¨ã€ãã®ãƒšãƒ¼ã‚¸ã‚’「見ãŸäººã€ãŒä½•ã€…SNSã®è¶³è·¡.phpã«ã‚¢ã‚¯ã‚»ã‚¹ã—ãŸã“ã¨ã«ãªã‚‹ã€‚ ※詳ã—ãã¯ã“ã¡ã‚‰ã®ãƒžãƒ³ã‚¬ã§ → ï¼»ã¯ã¾ã¡ã¡ã‚ƒã‚“ã®ã‚»ã‚ュリティ講座]ã“ã“ãŒã‚ミã®è„†å¼±ãªã¨ã“ã‚â€¦ï¼ ï¼š 第2回 ã—ーã•ãƒ¼ãµã£ã¦ä½•ã§ã™ã‹ï¼Ÿ CSRFã£ã¦ã“ã‚“ãªé¢¨ã«ã€ 「ãƒã‚°ã‚¤ãƒ³æ¸ˆã¿ã®äººã«ä½•ã‹æ“作ã•ã›ã‚‹ã€ã£ã¦ã‚¤ãƒ¡ãƒ¼ã‚¸ãŒå¼·ãã¦ã€ 対ç–ã™ã‚‹å´ã‚‚ã¾ãŸã€ã€Œæ—¢ã«ãƒã‚°ã‚¤ãƒ³æ¸ˆã¿ã®äººã‚’守るã€ã‚ˆã†ãªè€ƒãˆãŒå¼·ã„ã‚“ã よã。 例ãˆã°ã€å‹æ‰‹ã«æ—¥è¨˜ã«æŠ•ç¨¿ã•ã›ãªã„よã†ã«å¯¾
開発者ã®ãŸã‚ã®æ£ã—ã„CSRF対ç–
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ â– ã¯ã˜ã‚㫠ウェブアプリケーション開発者ã®ç«‹å ´ã‹ã‚‰è¦‹ãŸCSRF対ç–ã«ã¤ã„ã¦ã€ã•ã¾ã–ã¾ãªæƒ…å ±ãŒå…¥ã‚Šä¹±ã‚Œã¦ã„る。ç†è€…ãŒ2006å¹´3月ã®æ™‚点ã«ãŠã„ã¦å›½å†…ã®ã‚¦ã‚§ãƒ–サ イトやコンピュータ書ç±ãƒ»é›‘誌ãªã©ã§CSRF対ç–ã«ã¤ã„ã¦æ›¸ã‹ã‚Œã¦ã„る記事を調ã¹ãŸçµæžœã€ãŠã©ã‚ãã¹ãã“ã¨ã«ã€ãã®ã»ã¨ã‚“ã©ãŒèª¤ã‚Šã‚’å«ã‚“ã§ã„ãŸã‚Šã€ç¾å®Ÿçš„ ã«ã¯ä½¿ç”¨ã§ããªã„方法を紹介ã—ãŸã‚Šã—ã¦ã„ãŸã€‚ãã“ã§æœ¬ç¨¿ã§ã¯ã‚¦ã‚§ãƒ–アプリケーション開発者ã«ã¨ã£ã¦ã®æœ¬å½“ã«æ£ã—ã„CSRF対ç–ã«ã¤ã„ã¦ã¾ã¨ã‚ã‚‹ã“ã¨ã¨ã™ る。ã¾ãŸã€æŽ¡ç”¨ã™ã¹ãã§ãªã„CSRF対ç–ã¨ãã®ç†ç”±ã‚‚åˆã‚ã›ã¦ç´¹ä»‹ã™ã‚‹ã€‚ â– ã‚らゆる機能ãŒã‚¿ãƒ¼ã‚²ãƒƒãƒˆã¨ãªã‚Šã†ã‚‹ ウェブアプリケーションã®æŒã¤å…¨ã¦ã®æ©Ÿèƒ½ãŒCSRF攻撃ã®å¯¾è±¡ã¨ãªã‚Šã†ã‚‹ã€‚ã¾ãšã“ã®ã“ã¨ã‚’èªè˜ã—ã¦ãŠãå¿…è¦ãŒã‚る。 Amaz
1
ãŠçŸ¥ã‚‰ã›
ランã‚ング
ランã‚ング
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
処ç†ã‚’実行ä¸ã§ã™
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
{{#tags}}- {{label}}
{{/tags}}