PHP情報まとめ | Feed.php + csrf

[ スポンサード　リンク ]

11件中　1件～ 11件　[　← 前のページへ　]　[　次のページへ →　]

[　ソート　]　日付順注目順

CakePHPでCSRF対策 \| Shin x blog CakePHPでCSRF対策を行う方法です。フレームワークに含まれているSecurityコンポーネントを使います。 Security#requestAuth()にアクションを記述しておくと、アクショ... 　[　詳細　]　[　関連　]　[　ニコニコ風　] cakephp　csrf　php　security　フレームワーク 2008/08/12 6:30:03　　www.1x1.jp	XSSはブラウザ上でスクリプトが動き、CSRFはサーバー上でスクリプトが動く - ockeghem(徳丸浩)の日記昨日の日記で、DK祭りで使われている脆弱性がXSSかCSRFかという問題になった。どうも、XSSとCSRFがごっちゃになっている人もいるように見受けるので、簡単な整理を試みたい。 XSSとCSRFには似た点がある。どちらも「クロスサイト」という言葉が先頭につくなりすましのようなことが結果としてできるどちらも受動型攻撃であるそれに対して、もちろん違う点もある。専門家から... 　[　詳細　]　[　関連　]　[　ニコニコ風　] security　xss　CSRF　セキュリティ　あとで読む 2008/08/12 6:30:03　　d.hatena.ne.jp
少年よ大志を抱け: PHP: セッションにセキュリティ対策するここらへんは設定の問題や、回避処理を忘れずに入れておけば問題ないのだけど、HTTPからHTTPS、HTTPSからHTTPへのセッションの移行とかが必要になるとちょっと別口の方法を用意しておかないと簡単には実現できない。ようわ、 HTTP中をセッションID12345で移動しているとして、 SSLに移行時には同じIDが危険なので67890に変更するただ、Cookieにsecureフラグが... 　[　詳細　]　[　関連　]　[　ニコニコ風　] php　セキュリティ　 security　webappsec　session 2008/07/15 11:05:14　　bba-ltom.blogspot.com	PHP と Web アプリケーションのセキュリティについてのメモもし、scirpt タグや style タグ内でこれらの文字が無くても実行可能な Javascript が入力できる場合、クロスサイトスクリプティングに対処したことにはなりません。どうしてもその必要がある場合は、Javascript として実行されそうな文字列を削除するなど、非常に複雑な処理が必要になります。例えば、以下のような場合でも Javascript を実行するブラウザがあります。 <style type="text... 　[　詳細　]　[　関連　]　[　ニコニコ風　] PHP　security　セキュリティ　 programming　Web 2008/07/14 6:30:03　　www.asahi-net.or.jp
PHP と Web アプリケーションのセキュリティについてのメモもし、scirpt タグや style タグ内でこれらの文字が無くても実行可能な Javascript が入力できる場合、クロスサイトスクリプティングに対処したことにはなりません。どうしてもその必要がある場合は、Javascript として実行されそうな文字列を削除するなど、非常に複雑な処理が必要になります。例えば、以下のような場合でも Javascript を実行するブラウザがあります。 <style type="text... 　[　詳細　]　[　関連　]　[　ニコニコ風　] PHP　security　セキュリティ　 programming　Web 2008/07/14 6:30:03　　www.asahi-net.or.jp	グーグル、ウェブ脆弱性検知ツール「RatProxy」をリリース:ニュース - CNET Japan Googleは米国時間7月1日、ウェブ開発者がクロスサイト脆弱性を発見し、修正するためのツールをリリースした。　Googleによると、「RatProxy」と呼ばれるこの無料ツールは、半自動化された大部分が受動型のウェブアプリケーションセキュリティ監視ツールで、複雑なWeb 2.0環境における既存のユーザー主導型トラフィックの監視に基づく潜在的問題およびセキュリティ関連の設計パ... 　[　詳細　]　[　関連　]　[　ニコニコ風　] google　security　セキュリティ　 xss　php 2008/07/04 15:05:17　　japan.cnet.com
[メモ][PHP] すごいリロード対策 - p4lifeのメモ【PHP TIPS】 58. すごいリロード対策紹介されているのはシンプルなワンタイムトークン．単純なリロード対策であれば ticket の値は乱数でなくても良い．ここを乱数にすることで CSRF 対策も兼ねている．ただこの方法は，場合によってはフォームを正常に送信できなくなってしまう問題がある．例えば，入力画面→入力確認画面と遷移してから別のウィンドウで入力画面→入力確... 　[　詳細　]　[　関連　]　[　ニコニコ風　] php　tips　Security　リロード対策　 csrf 2008/05/23 6:30:06　　d.hatena.ne.jp	開発者のための正しいCSRF対策ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサイトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケ... 　[　詳細　]　[　関連　]　[　ニコニコ風　] security　csrf　セキュリティ　 Web　programming 2008/05/23 6:30:06　　www.jumperz.net
諸君　私は脆弱性が好きだ諸君　私は脆弱性が好きだ諸君　私は脆弱性が大好きだPHPが好きだXSSが好きだSQLインジェクションが好きだCSRFが好きだUTF-7が好きだexpressionが好きだシェアウェアでWebでGoogleでスペシャルねこまんまでLiveHTTPでFilemonでRegmonでOllyDbgでPerlでこの地上に存在するありとあらゆる脆弱性が大好きだセキュリティに関して口うるさく言っているサイトの脆弱性をいとも簡単に見つけるのが好... 　[　詳細　]　[　関連　]　[　ニコニコ風　] 増田　ネタ　 security　neta　面白い 2008/03/15 19:05:13　　anond.hatelabo.jp	OpenIDのライブラリにはCSRFに脆弱な物が多い GNUCitizenによると CSRF - It comes very handy. It seams that no matter how much you talk about it, very few pay attention on the problem. And it is not a problem that you can afford to have. And among the XSS issues, which most OpenID libraries have, CSRF (Cross-site Request Forgery) seams to be the most pervasive form of attack. http://www.gnucitizen.org/blog/hijacking-openid-enabled-accounts とほとんどのOpenIDのライブラリはCSRFに脆弱だそうです。 tiny problemと書いてありま... 　[　詳細　]　[　関連　]　[　ニコニコ風　] OpenID　Security　csrf　php　セキュリティ 2008/02/04 11:05:14　　blog.ohgaki.net
高木浩光＠自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由, hiddenパラメタは漏れやすいのか？図中の六角形はサーバ側のオブジェクトを表す。「登録情報編集」画面で入力されたデータが「確認」ボタンでサーバに送信されたとき、サーバは「様式検査」の処理の前に、入力データをサーバ側オブジェクトに記憶し、その後の処理ではこのオブジェクトの値を参照して実行するようにする。プレビュー画面の出力や、プレビュー画面で「保存」ボタンを押したときの「DB書... 　[　詳細　]　[　関連　]　[　ニコニコ風　] security　csrf　セキュリティ　 web　programming 2008/02/02 6:30:04　　takagi-hiromitsu.jp

TagsTop + csrf

[ スポンサード　リンク ]

11件中　1件～ 11件　[　← 前のページへ　]　[　次のページへ →　]