a666666 https://blog.hatena.ne.jp/a666666/ @kyanny's blog https://blog.kyanny.me/ 読書 体系的に学ぶ 安全なWebアプリケーションの作り方 wasbook いわゆる CSRF の話。 CSRF Cross-Site Request Forgeries アプリケーションの正規の利用者の権限で、意図せず重要な処理へのリクエストが発行され、悪用される（例: はまちちゃん「こんにちはこんにちは!!」） XSS とは違い直接アカウントの個人情報やセッション Cookie のような情報を攻撃者が知り得るものではない 罠の HTML の例 <body onload="document.forms[0].submit()"> <form action="http://target.example.jp/" method="post"> <input type="… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fblog.kyanny.me%2Fentry%2F20110607%2F1307467182" title="4. Webアプリケーションの機能別に見るセキュリティバグ (4.5 「重要な処理」の際に混入する脆弱性) - @kyanny&#39;s blog" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2011-06-07 02:19:42 rich https://blog.kyanny.me/entry/20110607/1307467182 1.0 100%