ockeghem page

徳丸 浩

徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

ホーム
投稿
限定投稿
リクエスト
プロフィール

CSRFについて質問があります。 CSRFの攻撃は、徳丸本第2版 pp.82 -- pp.83 「JavaScript 以外のクロスドメインアクセス」に記述されている項目、いわゆる「クロスドメインアクセスが許可されてている項目」に限られるのでしょうか? JavaScript のクロスドメインアクセスが SOP によってCORSがブロックされている場合を除きます(もちろん、これにも CSRF 対策が必要だと考えています。)。

forum リクエスト
2022/06/05 21:05

クロスドメインアクセスが許されている項目であればCSRF攻撃に使えますが、徳丸本に書いてあるのは代表的な例なので、他の要素でも攻撃には使えます。ただし、防御する側では、その点はあまり関係ありません。

ギフトサポートする

徳丸 浩

コメント

継続サポートするとコメントを閲覧、投稿することができます。

その他の投稿
自身の管理下に無いWebアプリで、自分の2アカウント間で互いの情報を参照したり変更できるか確認するのは特に問題ないのでしょうか。
forum リクエスト
これは従来OKとみなされていましたが、犯罪捜査などの実務面で絶対大丈夫と保証できるものではありません。

11日前

マルウェアを所有するのは合法ですか? 個人的な勉強として私の仮想マシンに感染させて動きを見たいです。
forum リクエスト
法的には、正当な理由があればセーフです。

11日前

今までなんとなく、パスワードは使いまわさずサービスごとに変えていました。ですがそうする目的はパスワードリスト攻撃対策だと認識しています。 ということは、私は自分が登録しているすべてのウェブサービスで異なるアカウント名、異なるメールアドレスで登録しているので、それならパスワードだけ使いまわしても大丈夫なのでしょうか。
forum リクエスト
原理的にはそうなりますね。

11日前

脆弱性診断診断を仕事としてやってる者です。資格や勉強を特にしなくても業務は遂行できてしまうので、成長を感じたり、勉強したことをアウトプットできる場が無く、仕事がつらいです。。 自分はこの仕事に向いてないんでしょうか..? 別のキャリアを探したほうがいいでしょうか..? すみません、こんな変な人生相談で..
forum リクエスト
職場でアウトプットする場がなくても、勉強した内容を個人ブログに書いたり、勉強会等で登壇している人は多数いると思いますよ。

11日前

カード情報を保存していなくてもフォームの改ざんが原因で漏洩することがあるとは大変勉強になりました。一方で、決済を伴うようなサイトでフォームが改ざんされる事件が繰り返し起きていることがとても怖いのですが、そんなものなのでしょうか。普通のサイトよりも気を付けて作っていると思うのですが。
forum リクエスト
少なくとも「普通のサイトよりも気を付けて作っている」ということは、多くの場合あてはまらないようです。ECサイト事業者の大半は中小零細企業であり、とにかく低予算であり、メンテナンスコストも掛けられていせ…

2月16日

継続サポート
ホーム
投稿
限定投稿
リクエスト
プロフィール
自分のダッシュボードへ
PAGEFULについて
利用規約
プライバシーポリシー
特定商取引法に基づく表示
PAGEFULに関するお問い合わせ

簡単オンラインコミュニティ決済ならメンバーペイ

メンバーペイ
powered by PAGEFUL[ペイジフル]