今時㮠CSRF 対ç–ã£ã¦ãªã«ã‚’ã™ã‚Œã°ã„ã„ã®ï¼Ÿ | Basicinc Enjoy Hacking!ã“ã‚“ã«ã¡ã¯ @zaru ã§ã™ã€‚今回ã¯æ˜”ã‹ã‚‰ã‚ã‚‹ CSRF (クãƒã‚¹ã‚µã‚¤ãƒˆãƒ»ãƒªã‚¯ã‚¨ã‚¹ãƒˆãƒ»ãƒ•ã‚©ãƒ¼ã‚¸ã‚§ãƒª) ã®ä»Šæ™‚ã®å¯¾ç–ã«ã¤ã„ã¦ã¾ã¨ã‚ã¦ã¿ã¾ã—ãŸã€‚ã‚‚ã—ã€è¨˜äº‹ä¸ã«é–“é•ã„ãŒã‚れ㰠@zaru ã¾ã§ DM ã‚‚ã—ãã¯ãƒ¡ãƒ³ã‚·ãƒ§ãƒ³ã‚’ãã ã•ã„ (ã‚»ã‚ュリティã®ç´°ã‹ã„部分ã«ã¤ã„ã¦ã®ç†è§£ãŒä¹ã—ã„…) 。 2022/08/29 : 徳丸ã•ã‚“ã‹ã‚‰ãƒ•ã‚£ãƒ¼ãƒ‰ãƒãƒƒã‚¯é ‚ã„ãŸå†…容をåæ˜ ã—ã¾ã—ãŸã€‚徳丸ã•ã‚“ã€ã‚ã‚ŠãŒã¨ã†ã”ã–ã„ã¾ã™ï¼ èªè¨¼ã‚り・ãªã—ã§å¯¾ç–方法ãŒé•ã†ç‚¹ トークン確èªæ–¹å¼ã®ãƒ‡ãƒ¡ãƒªãƒƒãƒˆã®ã‚¯ãƒã‚¹ãƒ‰ãƒ¡ã‚¤ãƒ³ã«ã¤ã„ã¦ã®è¨€åŠã‚’削除ã€ä»£ã‚ã‚Šã« Cookie 改変リスクを追記 Cookie 改ã–ã‚“å¯èƒ½æ€§ã«ã¤ã„ã¦å¾³ä¸¸ã•ã‚“ã®å‹•ç”»ãƒªãƒ³ã‚¯ã‚’追記 SameSite 属性ã§é˜²ã’ãªã„具体的ãªã‚±ãƒ¼ã‚¹ã‚’追記 nginx 説明ãŒé–¢ä¿‚ãªã‹ã£ãŸã®ã§å‰Šé™¤ ãã‚‚ãã‚‚ CSRF ã£ã¦ãªã«ï¼Ÿ 昔ã‹ã‚‰ã‚¤ãƒ³ã‚¿ãƒ¼ãƒãƒƒãƒˆã‚’ã‚„ã£ã¦ã„ã‚‹æ–¹ã§ã‚ã‚Œã°ã€Œã¼ãã¯ã¾ã¡ã¡ã‚ƒã‚“〠騒動ã¨è¨€ãˆã°
{{#tags}}- {{label}}
{{/tags}}