プライバシーポリシー

2022年9月9日金曜日

PHPカンファレンス2022にてSPAセキュリティ超入門の話をします

今年もPHPカンファレンスにてトークさせていただくことになりまして、以下のようなお話をいたします。 日時:9月25日(日) 14:40〜15:40 場所: 大田区産業プラザPiO   および YouTube 費用:無料 講演タイトル: SPAセキュリティ超入門 申し込み: con...
2022年7月4日月曜日

メタップスペイメント不正アクセス事件の第三者報告書から攻撃の模様を読み解く

株式会社メタップスペイメントの運営する決済代行システムから約288万件のクレジットカード情報が漏洩した不正アクセス事件について、第三者委員会の報告書および経済産業省の行政処分(改善命令)があいついで公開されました。 第三者委員会調査報告書(公表版) クレジットカード番号等取扱業者...
2022年5月16日月曜日

DNSリバインディング(DNS Rebinding)対策総まとめ

サマリ DNSリバインディングが最近注目されている。Google Chromeは最近になってローカルネットワークへのアクセス制限機能を追加しており、その目的の一つがDNSリバインディング対策になっている。Googleが提供するWiFiルータGoogle Nest WiFiはデフ...
2022年3月14日月曜日

とある通販サイトに学ぶ自動ログイン機能のバッドプラクティス

 サマリ とある通販サイトにて「   メールアドレス・パスワードを保存する 」機能がありますが、サイトにクロスサイトスクリプティング(XSS)脆弱性がサイトにあると生のパスワードが漏洩する実装となっています。本稿では、この実装方式を紹介し、なぜ駄目なのか、どうすべきなのかを紹介し...
2022年1月26日水曜日

2022年1月においてCSRF未対策のサイトはどの条件で被害を受けるか

サマリ 2020年2月にGoogle ChromeはCookieのデフォルトの挙動をsamesite=laxに変更しましたが、2022年1月11日に Firefoxも同様の仕様が導入されました 。この変更はブラウザ側でCSRF脆弱性を緩和するためのもので、特定の条件下では、ウェブ...
2021年12月20日月曜日

PHPにはエスケープ関数が何種類もあるけど、できればエスケープしない方法が良い理由

このエントリは、 PHP Advent Calendar 2021 の20日目のエントリです。19日目は @takoba さんによる  PHPプロジェクトのComposerパッケージをRenovateで定期アップデートする でした。 SQLインジェクションやクロスサイトスク...
2 件のコメント:
2020年12月19日土曜日

PHPビルドの楽しみ、あるいはポケモンとしてのPHPについて

この記事は PHP Advent Calendar 2020 の19日目です。18日目は @You-saku さんの PHPでYoutubeのAPIを利用したい でした。 私は以前、PHPのすべてのバージョンを使う環境として、 phpall 、 phpcgiall 、 modph...