Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
Hatena Blog Tags
はてなブログ トップ
CSRF
このタグでブログを書く

CSRF

(コンピュータ)
しーさーふ

Cross-Site Request Forgeriesの略。Webアプリケーションの「投稿」や「削除」、「購入」、「退会」「メッセージ送信」など、永続的な影響を与えるコマンドを実行する URL へ誘導し、意図しないコマンドを実行させる攻撃。
詳細は参考URLの各サイトへ。

参考URL

関連キーワード

  • XSS脆弱性
このタグの解説についてこの解説文は、すでに終了したサービス「はてなキーワード」内で有志のユーザーが作成・編集した内容に基づいています。その正確性や網羅性をはてなが保証するものではありません。問題のある記述を発見した場合には、お問い合わせフォームよりご連絡ください。
WILLGATE TECH BLOG2ヶ月前

あなたは「CSRF token mismatch.」の沼から抜けられるか

この記事はウィルゲート Advent Calendar 2024 8日目の記事です。 adventar.org こんにちは、コンテンツ開発ユニットの清水(@takaaki_w)です。 突然ですがあなたは画面上に「CSRF token mismatch.」が出てきた時にすぐに解決できますでしょうか? ↓こんなやつ 私は沼にハマり期末の大事な時期に開発が進みませんでした。 セキュリティ向上のために人知れず頑張ってくれているCSRF tokenさんに対して大人気ない態度を取ってしまった私ですが、懺悔の気持ちとして「CSRF token mismatch.」の沼から抜ける方法を記します。 CSRFとは…

#アドベントカレンダー2024#CSRF#セキュリティ

ネットで話題

もっと見る
1014ブックマーク開発者のための正しいCSRF対策著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきこと...www.jumperz.net
552ブックマーク令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.ioblog.jxck.io
545ブックマーク超絶技巧CSRF / Shibuya.XSS techtalk #7speakerdeck.com
528ブックマークCSRFで強制ログインさせるというアイデア - ぼくはまちちゃん!blog.hamachiya.jp
459ブックマークCSRFによる冤罪、誤認逮捕か。大阪市ウェブに大量殺人予告での逮捕の件: ホットコーナーブログ(iiyu.asablo.jpの検索) ホットコーナー内の検索 でもASAHIネット(asahi-net.or.jp)全体の検索です。 検索したい言葉のあとに、空白で区切ってki4s-nkmrを入れるといいかも。 例 中村(show) ki4s-nkmr ウェブ全体の検索 ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net....iiyu.asablo.jp
453ブックマークCSRF対策のやり方、そろそろアップデートしませんか / Update your knowledge of CSRF protectionspeakerdeck.com
417ブックマーク高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由水色の四角は画面を表し、白抜き実線枠の四角はボタンを表す。 これを、Webアプリという実装手法を選択する場合に特化すると、図2のような遷移図が描ける。 実線矢印はブラウザが送信するHTTPのrequest(ヘッダおよび、POSTの場合はボディを含む)を表し、黄色の丸がサーバ側での1アクセスの処理を表し、点線がその処理...takagi-hiromitsu.jp
387ブックマークCSRF対策用トークンの値にセッションIDそのものを使ってもいい時代なんて、そもそも無かったgist.github.com
382ブックマークCSRF is (really) deadscotthelme.co.uk

関連ブログ

土日の勉強ノート6ヶ月前

OWASP ZAPの自動スキャン結果の分析と対策:リスク中すべて

「ハッキング・ラボのつくりかた 完全版 仮想環境におけるハッカー体験学習」と「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践」(通称:徳丸本)を参考に、セキュリティの勉強を進めています。 前回は、以前 に行った OWASP ZAP の自動脆弱性スキャンの結果の「オープンリダイレクト」について、分析と対策までやりました。 今回は、リスク中の内容を見ていきます。 それでは、やっていきます。

#セキュリティ#徳丸本#脆弱性スキャン#OWASP ZAP#CSRF#Content-Security-Policy#X-Frame-Options#ディレクトリ・リスティング#ディレクトリブラウジング
The light of hope to the other side of the tunnel - Kotsu Kotsu To -9ヶ月前

Busting CSRF: The Dangers of JSON Exploited から学ぶ

ソース: medium.com 脆弱性:CSRF、CORS 訳: Web サイトを探索していたときに、管理者を招待するためのエンドポイントを見つけ。 次のようになり。 一見すると、CSRF 攻撃から安全であるように見えて。 HTML フォームを使用して JSON リクエストを送信することはできないため、XMLHttpRequest (XHR) である必要があり。 また、単純ではないリクエストを含むクロスオリジン XHR (たとえば、 Content-Type: application/json) 通常、ブラウザの CORS (Cross-Origin Resource Sharing) ポリシ…

#CSRF#CORS
The light of hope to the other side of the tunnel - Kotsu Kotsu To -9ヶ月前

Finding CSRF on Graphql Application から学ぶ

ソース: medium.com 脆弱性:GraphQL, CSRF 訳: GraphQL は最新の Web アプリケーションでのデータ通信に好まれるツールであることが多いですが、セキュリティ上の問題が伴い。 その 1 つは、クロスサイト リクエスト フォージェリ (CSRF) 攻撃で。 CSRF の脆弱性により、攻撃者がユーザーのブラウザで不正なリクエストを行うことが可能になり、重大なセキュリティ リスクが生じる可能性があって。 Cookie と認証トークンの違いについて Cookie ベースの認証 Cookie は、ユーザーがアクセスする Web サイトによってユーザーのブラウザーに保存され…

#GraphQL#CSRF
The light of hope to the other side of the tunnel - Kotsu Kotsu To -10ヶ月前

Always escalate! From Self-XSS to Persistent XSS on Login Portal から学ぶ

ソース: medium.com 脆弱性:XSS, CSRF 訳: 約 2 か月前、ログイン ポータルで永続的な自己 XSS を発見しました。 ほとんどのプログラムは自己 XSS レポートを受け入れませんが、私はログイン CSRF と連携することでこれをログイン ページ上の永続 XSS にエスカレートし、有効な脆弱性としてプログラムに報告しました。 もう一度言いますが、これは私がプライベート プログラムで発見したものなので、redacted.com と呼ぶことにして。 アカウント ポータル ページでは、姓、名などのアカウントの設定を変更できます。 時間をかけて、可能な限りすべてのパラメーターをい…

#XSS#CSRF#WAF
ハニーレポート1年前

CSRFについてまとめてみた

ウェブサイトに仕掛けられる攻撃手法で代表的なCSRF(クロスサイトリクエストフォージェリ)についてまとめます。 CSRFとは? 攻撃者が用意した悪意のあるサイトにアクセスしてしまうことでスクリプト付きのWebページをダウンロードしてしまい、スクリプトが自動実行され、他のサイトにアクションを起こされる攻撃です。 よく他のサイトにアクションというのは、SNSやAmazonなどのECサイトの不正にログインをされて、アカウントを乗っ取る行為が多いです。 攻撃名を訳すと CrossSite:サイトをまたいだ Request:要求の Forgeries:偽装 悪意のあるサイトからユーザの利用しているSNS…

#セキュリティ#攻撃手法#CSRF
The light of hope to the other side of the tunnel - Kotsu Kotsu To -1年前

Unveiling Account Takeover: CSRF Unraveled? から学ぶ

ソース: medium.com 脆弱性:CSRF 訳: プログラム ポリシーを確認した後、アカウントを作成し、バックグラウンドで Burp Suite をオンにして、プログラムの性質とリクエストの種類を確認しました。 いつものように、プロファイル設定に移動すると、次のオプションが含まれていて。 Change Username/Email/Phone Change Password Enable/Disable 2FA そこで、すべてを試してみましたが、最後の 2 つのオプションはどちらもリクエストに CSRF トークンが含まれています。 しかし驚いたことに、「ユーザー名/電子メール/電話番号の…

#CSRF
The light of hope to the other side of the tunnel - Kotsu Kotsu To -1年前

Story of a weird CSRF bug から学ぶ

ソース: medium.com 脆弱性:CSRF 訳: アプリケーションの詳細について説明すると、これはユーザーが (運転免許証、パスポートなど) などの確認書類をアップロードする必要がある入札サイトでした。 サイトの入札セクションにアクセスするために。 検証ドキュメントのアップロード エンドポイントでこれを詳しく調べたところ、送信できるのは 1 回だけであることがわかり。つまり、ドキュメントをアップロードすると、その後は変更を加えることはできず。 その後、スタッフが手動で検証します。 これは、ユーザーが確認ドキュメントをアップロードするときに行われたリクエスト。 このリクエストではありません…

#CSRF
The light of hope to the other side of the tunnel - Kotsu Kotsu To -1年前

IDOR and CSRF at the same end point(my first bug🐛) から学ぶ

ソース: medium.com 脆弱性:IDOR, CSRF 訳: 今日は最初のバグを共有するので、ターゲットを example.com に呼び出しましょう。 まず、ドメインをよく理解するために小さなマッピングを作成し、それから関数を探し始めます。 ユーザーの名前を変更する機能に来て、メールアドレスと携帯電話番号も変更されるのでそれを使用し、リクエストを探したところ、そのようでした。 POST /api/update-customer?api_token=9801c30c00000049dfa936fd1c3f2f HTTP/1.1Host: example.comUser-Agent: Mo…

#IDOR#CSRF
The light of hope to the other side of the tunnel - Kotsu Kotsu To -1年前

IDOR and CSRF at the same end point(my first bug🐛) から学ぶ

ソース: medium.com 脆弱性:IDOR, CSRF 訳: 今日は最初のバグを共有するので、ターゲットを example.com に呼び出しましょう。 まず、ドメインをよく理解するために小さなマッピングを作成し、それから関数を探し始めます。 ユーザーの名前を変更する機能に来て、メールアドレスと携帯電話番号も変更されるのでそれを使用し、リクエストを探したところ、そのようでした。 POST /api/update-customer?api_token=9801c30c00000049dfa936fd1c3f2f HTTP/1.1Host: example.comUser-Agent: Mo…

#IDOR#CSRF