[B! csrf] kiyo_hikoのブックマーク

RailsのCSRF保護を詳しく調べてみた（翻訳）｜TechRacho by BPS株式会社

概要原著者の許諾を得て翻訳・公開いたします。英語記事: A Deep Dive into CSRF Protection in Rails 公開日: 2017/07/31 著者: Alex Taylor サイト: Ruby Inside 2017/10/23: 初版公開 2021/11/26: 更新現在Railsを使っていればCSRF保護を使うことがあるでしょう。この機能はRailsのほぼ初期から存在し、即座に導入して開発を楽にできるRailsの機能のひとつです。 CSRF︵Cross-Site Request Forgery︶を簡単に説明すると、悪意のあるユーザーがサーバーへのリクエストを捏造して正当なものに見せかけ、認証済みユーザーを装うという攻撃手法です。Railsでは、一意のトークンを生成して送信のたびに真正性を確認することでこの種の攻撃から保護します。最近私がUnboun

kiyo_hiko 2017/10/24

リンク

Proper way to send an Authenticity Token with AJAX to Rails

This works but gets stopped because it lacks an authenticity token: $(".ajax-referral").click(function(){ $.ajax({type: "POST", url: $(this).parent("form").attr("action"), dataType: "script"}); return false; }); So I tried adding it like so: $(".ajax-referral").click(function(){ $.ajax({type: "POST", url: $(this).parent("form").attr("action") + "?&authenticity_token=" + AUTH_TOKEN, dataType: "scri

kiyo_hiko 2016/04/18

リンク

How can I make Sinatra use CSRF Authenticity tokens?

I'm building a simple app in ruby using the Sinatra framework. It's mainly "get" based - most requests will be for listing data. However there are a couple of key screens in the app that will collect user input. I want to ensure the app is as safe as I can make it, and currently, trying to find how to implement the kind of authenticity tokens that you get in a Rails form? Where I've got to: Well,

kiyo_hiko 2016/04/18

リンク

WARN - attack prevented by Rack::Protection::AuthenticityToken · Issue #1251 · padrino/padrino-framework

kiyo_hiko 2016/04/18

AjaxでPOSTにリクエストパラメーター渡そうとしたらセキュアトークンの問題でトラブッタ…／( ^x^)＼

リンク

超絶技巧CSRF / Shibuya.XSS techtalk #7

CSRF, HTML Form Protocol Attack, Cross-protocol scripting attackについて

kiyo_hiko 2016/03/29

csrf

リンク

IPA ウェブ健康診断仕様を使ったWebアプリ脆弱性検査(CSRF編)

Software WebSecurity IPA ウェブ健康診断仕様を使ったWebアプリ脆弱性検査(CSRF編)※当サイトにはプロモーションが含まれています。診断内容ウェブ健康診断仕様.pdf より抜粋診断する環境クライアントOS：OS Xブラウザ：Firefox (OWASP ZAPに対するプロキシ設定は済んでいるものとします)HTTP通信を記録するツール：OWASP ZAP診断対象となるWebアプリケーション：VirtualBoxで導入した OWASP BWA上のDVWA(Damn Vulnerable Web Application)OWASP BWAのIPアドレス：192.168.0.50※ OWASP BWA、DVWA(Damn Vulnerable Web Application) については、こちらの記事 OWASP BWA (The Broken Web Applica

kiyo_hiko 2015/10/09

リンク

rack-protection とは - Qiita

rack-protection とは，Sinatra 関連のコンポーネント (sinatra-contrib など) を多数作ってる rkh 氏のプロダクトの一つで，Rack に組み込むだけでいくつかの脆弱性に対する防御をしてくれる Rack middleware です。いかがかなと思うコンポーネントもありますが，基本的にそういうのはデフォルトで無効化されてますし，FrameOptions や XSSHeader のように「とりあえず入れといても副作用ないし実効性がある」コンポーネントも多いので，とりあえずいれとくというスタンスでもよいのではないでしょうか。使い方ざっくりと省略。とりあえず説明ページにあるように，config.ru に書く場合，な感じで使うことになります。この Rack::Protection を use すると，バンドルされているコンポーネント (middlew

kiyo_hiko 2015/09/07

Padrinoだとデフォ

リンク

If I add multiple forms in a single page, do I need to add separate Anti-Forgery Tokens in each form?

kiyo_hiko 2015/08/10

"Simply put an Html.AntiForgeryToken() in each form and decorate each controller action you are posting to with the [ValidateAntiForgeryToken] attribute and you should be OK." → 例外が飛んでくる。。

リンク

開発者のための正しいCSRF対策

著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめにウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサイトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとする。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうるウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz

kiyo_hiko 2012/10/08

リンク

はてなブックマーク

タグ

関連タグで絞り込む (16)

csrfに関するkiyo_hikoのブックマーク (9)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第2週）

はてなブックマーク透明性レポート（2024年 2月-2024年4月）

今週のはてなブックマーク数ランキング（2024年7月第1週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス