タグ「csrf」についてのクリップ一覧｜@nifty クリップ

Facebook にクロスサイトリクエストフォージェリ攻撃の脆弱性 - japan.internet.com Webテクノロジー

tsupo — 2009-08-21T05:11:17Z

人気が高まる一方の Facebook だが、セキュリティ研究家や脆弱性発見を手がける人々にとっても、さらに興味をそそる対象となりつつあるようだ。セキュリティ研究家の Ronen Zilberman 氏は19日、HTML のイメージタグを使... 続きを読む

クリップへ追加する

開発者のための正しいCSRF対策

2008-09-16T11:27:22Z

開発者のための正しいCSRF対策著者: 金床
http://www.jumperz.net/
■はじめにウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサイトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとする。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。

■あらゆる機能がターゲットとなりうるウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。

AmazonのようなショッピングサイトやGoogleのような検索サイト、そしてはてなダイアリーやMixiのような日記やブロ... 続きを読む

クリップへ追加する

0x000000 Hacking & Security: HTML Control Without Javascript.

tsupo — 2008-09-03T09:15:13Z

/rvdh index forum links snippets archive info contact rss twit
HTML Control Without Javascript. posted on: 01 09 08 →

In some cases users turn off Javascript for some security reasons. HTML has limited scripting, in fact it has almost zero scripting capabilities. Well, that is only true if one discards the FOR attribute on a label element, part of form contr... 続きを読む

クリップへ追加する

JavaScript無しでフォームをコントロール

tsupo — 2008-09-03T09:10:15Z

言われてみれば、そう言えばそんな機能があったね、と思うような機能はよくあります。
JavaScript無しでフォームを制御する方法はHTML4が策定されている時に追加された機能です。
http://www.w3.org/TR/html401/interact/forms.html#h-17.2.1Read more » 続きを読む

クリップへ追加する

ついに起きたＸＳＳ攻撃・セキュリティーは１日にしてならずセキュリティー-最新ニュース:IT-PLUS

tsupo — 2008-08-21T06:02:39Z

ITプラスビジネスを制する人のIT総合ニュースサイト音声ブラウザ専用。こちらよりメインメニューへ移動可能です。クリック。音声ブラウザ専用。こちらより記事見出しへ移動可能です。クリック。音声ブラウザ専用。こちらより見出し一覧へ移動可能です。クリック。サイトマップ利用案内 RSSについて NIKKEI NETトップへ戻るネットナビ新聞購読のお申し込みビジネスセキュリティーデジタル家電&エンタメトレンドウイルス・ネット犯罪安全対策個人情報発表資料連載・コラム特集更新：8月21日 13:08セキュリティー：最新ニュースついに起きたＸＳＳ攻撃・セキュリティーは１日にしてならず　セキュリティーといえば情報保護のことだと思っている人も多い。つまり、個人情報やカード情報などを大量に管理するサイトの管理者が考えればいいことであり、一般のサイト管理者はそこまで意識する必要はないのではと考えていると思う。しかし、どんなサイトであっても、セキュリティー上の不備が問題となる事件は起こりうる。■「予告.in」で... 続きを読む

クリップへ追加する

個人だから甘いのかな - ぼくはまちちゃん！(Hatena)

bookey — 2008-08-04T13:56:15Z

あらあら予告inがXSSやられちゃったらしいですね！使い古された手法？いまどきエスケープ処理すらしてなくてダサい？関連の記事に対して、はてなブックマークでも色々言われていたり、 http://b.hatena.ne.jp/t/%E4%BA%88%E5%91%8A.in?threshold=1 ニュースサイトでも、こんな煽り記事を書かれていたりするけれど… 今回の件についてIT企業に勤めるエンジニアに聞いてみると、「これは初歩中の初歩。XSSコード書いた方も10分も掛かって ... 続きを読む

クリップへ追加する

グーグル、ウェブ脆弱性検知ツール「RatProxy」をリリース:ニュース - CNET Japan

tsupo — 2008-07-04T05:39:15Z

　Googleは米国時間7月1日、ウェブ開発者がクロスサイト脆弱性を発見し、修正するためのツールをリリースした。　Googleによると、「RatProxy」と呼ばれるこの無料ツールは、半自動化された大部分が受動型のウェブアプリケーションセキュリティ監視ツールで、複雑なWeb 2.0環境における既存の... 続きを読む

クリップへ追加する

OpenIDのライブラリにはCSRFに脆弱な物が多い

bookey — 2008-02-05T08:42:53Z

GNUCitizenによると
CSRF - It comes very handy. It seams that no matter how much you talk about it, very few pay attention on the problem. And it is not a problem that you can afford to have. And among the XSS issues, which most OpenID libraries have, CSRF (Cross-site Request Forgery) seams to be the most pervasive form of attack.http://www.gnucitizen.org/blog/hijacking-openid-enabled-accounts
とほとんどのOpenIDのライブラリはCSRFに脆弱だそうです。
tiny problemと書いてありますがとても重要な問題です。OpenIDのようなSSO (Single Sign On）システムが脆弱だとそれを利用しているシステム全体が危険に... 続きを読む

クリップへ追加する

【PHP TIPS】 58. すごいリロード対策：ITpro

null — 2007-10-22T08:37:57Z

Linuxサーバーデスクトップビギナーズ
　ITpro ＞オープンソース/Linux ＞サーバーLinux入門
新連載5本開始
日経Linux4月号にて

PHP TIPS
【PHP TIPS】 58. すごいリロード対策
まず、日本のサイトにある一般的な登録フォームの画面遷移は入力画面→入力確認画面→完了... 続きを読む

クリップへ追加する

川o・-・）＜2nd life - crossdomain.xml と CSRF 脆弱性について

tsupo — 2007-07-18T02:46:49Z

ようこそゲストさん最新の日記記事一覧ユーザー登録ログインヘルプ川o・-・）＜2nd life< Shibuya.JS 運営について | はて☆すた OP>2007 07 18■crossdomain.xml と CSRF 脆弱性についてcrossdomain.xml を安易に設置すると CSRF 脆弱性を引き起こす可能性があります。というのも、ここ数が月、それなりの数の crossdomain.xml による CSRF 脆弱性を発見し(現在、それらのサイトでは対策がなされています)、まだまだ Web プログラマに脆弱性を引き起こす可能性がある、という考え方が浸透してないんじゃないか、と思ったので。先月、Life is beautiful: ウェブサービスAPIにおける『成りすまし問題』に関する一考察にも crossdomain.xml について書かれてたのですが、その後もいくつかのサービスで crossdomain.xml を許可ドメインすべてにしているサービスがあったので、注意喚起としてエントリーに書き起こします。自分も一年半ぐらい前は、crossdomain.xml を許可ドメイン... 続きを読む

クリップへ追加する

#6　IT戦士天野仁史／こんにちはこんにちは！ Hamachiya2（中編）　はまちちゃんはいかにしてXSS/CSRFを見つけるか｜gihyo.jp

tsupo — 2007-05-22T09:59:37Z

gihyo.jp » DEVELOPER STAGE » 連載 » 小飼弾のアルファギークに逢いたい♥ » #6　IT戦士天野仁史／こんにちはこんにちは！ Hamachiya2（中編）　はまちちゃんはいかにしてXSS/CSRFを見つけるか小飼弾のアルファギークに逢いたい♥#6　IT戦士天野仁史／こんにちはこんにちは！ Hamachiya2（中編）　はまちちゃんはいかにしてXSS/CSRFを見つけるか2007年5月22日初出：WEB+DB PRESS Vol.38（2007年4月24日発売）小飼弾 JavaScript天野仁史さん，Hamachiya2さん（はまちちゃん）との対談の中編です。編集部注）本対談は2007年3月に行われたものです。こんにちはこんにちは！弾：はまちちゃんはいつ頃から「こんにちは」に興味が出てきたの？は：確かmixiを始めた2年前くらいかな。mixiってブログと違って，日記にコメントがたくさんつくのがおもしろくてハマってて。毎日見てるうちにおもしろい現象を見かけたんです。たまたま誰かが「ラーメン」っ... 続きを読む

クリップへ追加する

ITmedia News：Google Readerにログイン妨害の脆弱性

tsupo — 2007-04-20T05:36:54Z

ニュースGoogle Readerにログイン妨害の脆弱性US-CERTのアドバイザリーによると、GoogleのRSSリーダーにXSRFの脆弱性が存在し、悪用されるとサービスにログインできなくなる可能性がある。2007年04月19日 08時15分更新　米Googleが試験提供しているRSSリーダーの... 続きを読む

クリップへ追加する

＠IT：「ぼくはまちちゃん」 ――知られざるCSRF攻撃

fairy — 2007-04-01T00:54:53Z

＠IT＠IT テクノロジー＠IT情報マネジメント＠IT MONOist＠IT自分戦略研究所JOB＠ITITmediaTechTarget誠＠IT総合トップ > テクノロジー > Security&Trust > 「ぼくはまちちゃん」 ——知られざるCSRF攻撃　
セキュリティ動向チェック
Security&Trust ウォッチ（33）

「ぼくはまちちゃん」——知られざるCSRF攻撃
上野宣
2005/4/27
○○さんの日記 2005年04月19日
00：00
ぼくはまちちゃん！ ... 続きを読む

クリップへ追加する

タグ「csrf」についてのクリップ一覧｜@nifty クリップ

Facebook にクロスサイト リクエスト フォージェリ攻撃の脆弱性 - japan.internet.com Webテクノロジー

開発者のための正しいCSRF対策

0x000000 Hacking & Security: HTML Control Without Javascript.

JavaScript無しでフォームをコントロール

ついに起きたＸＳＳ攻撃・セキュリティーは１日にしてならず セキュリティー-最新ニュース:IT-PLUS

個人だから甘いのかな - ぼくはまちちゃん！(Hatena)

グーグル、ウェブ脆弱性検知ツール「RatProxy」をリリース:ニュース - CNET Japan

OpenIDのライブラリにはCSRFに脆弱な物が多い

【PHP TIPS】 58. すごいリロード対策：ITpro

川o・-・）＜2nd life - crossdomain.xml と CSRF 脆弱性について

#6 IT戦士 天野 仁史／こんにちはこんにちは！ Hamachiya2（中編） はまちちゃんはいかにしてXSS/CSRFを見つけるか｜gihyo.jp

ITmedia News：Google Readerにログイン妨害の脆弱性

＠IT：「ぼくはまちちゃん」 ――知られざるCSRF攻撃

Facebook にクロスサイトリクエストフォージェリ攻撃の脆弱性 - japan.internet.com Webテクノロジー

ついに起きたＸＳＳ攻撃・セキュリティーは１日にしてならずセキュリティー-最新ニュース:IT-PLUS

#6　IT戦士天野仁史／こんにちはこんにちは！ Hamachiya2（中編）　はまちちゃんはいかにしてXSS/CSRFを見つけるか｜gihyo.jp