プライバシーポリシー

2022年5月16日月曜日

DNSリバインディング(DNS Rebinding)対策総まとめ

サマリ DNSリバインディングが最近注目されている。Google Chromeは最近になってローカルネットワークへのアクセス制限機能を追加しており、その目的の一つがDNSリバインディング対策になっている。Googleが提供するWiFiルータGoogle Nest WiFiはデフ...
2022年3月14日月曜日

とある通販サイトに学ぶ自動ログイン機能のバッドプラクティス

 サマリ とある通販サイトにて「   メールアドレス・パスワードを保存する 」機能がありますが、サイトにクロスサイトスクリプティング(XSS)脆弱性がサイトにあると生のパスワードが漏洩する実装となっています。本稿では、この実装方式を紹介し、なぜ駄目なのか、どうすべきなのかを紹介し...
2022年1月26日水曜日

2022年1月においてCSRF未対策のサイトはどの条件で被害を受けるか

サマリ 2020年2月にGoogle ChromeはCookieのデフォルトの挙動をsamesite=laxに変更しましたが、2022年1月11日に Firefoxも同様の仕様が導入されました 。この変更はブラウザ側でCSRF脆弱性を緩和するためのもので、特定の条件下では、ウェブ...
2021年12月20日月曜日

PHPにはエスケープ関数が何種類もあるけど、できればエスケープしない方法が良い理由

このエントリは、 PHP Advent Calendar 2021 の20日目のエントリです。19日目は @takoba さんによる  PHPプロジェクトのComposerパッケージをRenovateで定期アップデートする でした。 SQLインジェクションやクロスサイトスク...
2 件のコメント:
2020年12月19日土曜日

PHPビルドの楽しみ、あるいはポケモンとしてのPHPについて

この記事は PHP Advent Calendar 2020 の19日目です。18日目は @You-saku さんの PHPでYoutubeのAPIを利用したい でした。 私は以前、PHPのすべてのバージョンを使う環境として、 phpall 、 phpcgiall 、 modph...
2020年11月14日土曜日

auじぶん銀行のフィッシングSMSが届いた

3日前に、auじぶん銀行の巧妙な不正出金についてYouTube動画を公開しました。みんな見てねー。 auじぶん銀行アプリに対する不正出金の驚くべき手口 そうしたところ、先程私のiPhoneに以下のようなSMSが届きました。 ふーん、au自分銀行のときは宅配事業者を装ったSMSとい...
2020年5月30日土曜日

PHPの脆弱性CVE-2018-17082はApacheの脆弱性CVE-2015-3183を修正したら発現するようになったというお話

最近自宅引きこもりで時間ができたので、YouTube動画を投稿するようになりました。みんな見てねー。 徳丸浩のウェブセキュリティ講座 そんなことで、次の動画は、お気に入りのPHPの脆弱性 CVE-2018-17082  を取り上げようと思ったんですよ。表向きXSSで出てい...