変人プログラマのブログ以外にネタ的Webサービスも提供しています。
CSRFについてとその他セキュリティについてのメモ
- 2008年3月22日(土) 20:38 JST
phpリンク集のPHPとWebアプリケーションのセキュリティについてのメモにCSRF(クロスサイトリクエストフォージェリ)対策について書いてあるのだが、ひそかに理解していなかった。。。(おぃ
XSSやSQLインジェクションについては、バッチリ対策をしている人も多いだろうがCSRFはあまり耳慣れないという人も多い気がするのは俺だけ?(おぃおぃ、大丈夫?
そこで分かりやすいサイトを列挙してみる。
CSRFを知らない人は以下のサイト
簡単に説明すると、入力画面、完了画面が存在する場合、完了画面に直接遷移・呼び出すことで不正に完了画面に実装している機能を実行することが出来るのだ。(ex.掲示板やブログの不正なスパム広告)
他にも会員制のサイトだったら不正に退会処理や物を買わせることも出来るのだ。
こえぇぇぇ!!こわいよぉぉぉぉTT
というわけでphpでのCSRF対策方法はこれだ!!
まぁ、リロード対策をすれば自然に解決出来るんですね。。。なのであまり聞かないのかもしれません。。。。
ワンタイムトークンという手法を使っています。(有名?
1.の方法だと入力途中で別のウィンドウを開くと、前のウィンドウが無効になっちゃう問題があるので2.でその解決方法が掲載されています。
解説を間違えていたらごめんなさい(おぃ
まぁ、ポインタは示しているのでそちらで。。。
PHPだけでは無く、この考え方は他にも適用出来るので、自分のような無知な人はこの機会にぜひ読んでみてください。
追加でセキュリティ関係で面白いPDFがあったので紹介しておく
安全なWebアプリ開発40箇条の鉄則(PDF文章)
XSSやSQLインジェクションについては、バッチリ対策をしている人も多いだろうがCSRFはあまり耳慣れないという人も多い気がするのは俺だけ?(おぃおぃ、大丈夫?
そこで分かりやすいサイトを列挙してみる。
CSRFを知らない人は以下のサイト
簡単に説明すると、入力画面、完了画面が存在する場合、完了画面に直接遷移・呼び出すことで不正に完了画面に実装している機能を実行することが出来るのだ。(ex.掲示板やブログの不正なスパム広告)
他にも会員制のサイトだったら不正に退会処理や物を買わせることも出来るのだ。
こえぇぇぇ!!こわいよぉぉぉぉTT
というわけでphpでのCSRF対策方法はこれだ!!
まぁ、リロード対策をすれば自然に解決出来るんですね。。。なのであまり聞かないのかもしれません。。。。
ワンタイムトークンという手法を使っています。(有名?
1.の方法だと入力途中で別のウィンドウを開くと、前のウィンドウが無効になっちゃう問題があるので2.でその解決方法が掲載されています。
解説を間違えていたらごめんなさい(おぃ
まぁ、ポインタは示しているのでそちらで。。。
PHPだけでは無く、この考え方は他にも適用出来るので、自分のような無知な人はこの機会にぜひ読んでみてください。
追加でセキュリティ関係で面白いPDFがあったので紹介しておく
安全なWebアプリ開発40箇条の鉄則(PDF文章)
トラックバック
- このエントリのトラックバックURL:
- http://web.fpso.jp/trackback.php/2008032220385851
この記事にはトラックバック・コメントがありません。
コメントは投稿者の責任においてなされるものであり,サイト管理者は責任を負いません。