SameSite攻撃者がCodeIgniter4とShieldでのCSRF保護を回避できる脆弱性の解説 — A Day in Serenity (Reloaded) — PHP, CodeIgniter, FuelPHP, Linux or something

テクノロジーカテゴリーの変更を依頼記事元:

blog.a-way-out.net

11 usersがブックマークコメント

記事へのコメント2件

注目コメント
新着コメント

ockeghem Cookieを攻撃者が改変できる文脈ではCodeIgniter4のCSRF防御が回避される。対策も記載されています。CodeIgniterに限らずCSRF対策方法によってはあり得る内容

2022/08/16 リンク

tofu-kun サブドメインを一般提供するようなサービスの場合、気をつける箇所が増えるね

2022/08/16 リンク

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

<iframe marginwidth="0" marginheight="0" src="https://b.hatena.ne.jp/entry.parts?url=http%3A%2F%2Fblog.a-way-out.net%2Fblog%2F2022%2F08%2F16%2Fcodeigniter4-shield-csrf-protection-bypass%2F%3Futm_source%3Dpocket_mylist" scrolling="no" frameborder="0" height="230" width="500"><div class="hatena-bookmark-detail-info"><a href="http://blog.a-way-out.net/blog/2022/08/16/codeigniter4-shield-csrf-protection-bypass/?utm_source=pocket_mylist">SameSite攻撃者がCodeIgniter4とShieldでのCSRF保護を回避できる脆弱性の解説 — A Day in Serenity (Reloaded) — PHP, CodeIgniter, FuelPHP, Linux or something</a><a href="https://b.hatena.ne.jp/entry/blog.a-way-out.net/blog/2022/08/16/codeigniter4-shield-csrf-protection-bypass/?utm_source=pocket_mylist">はてなブックマーク - SameSite攻撃者がCodeIgniter4とShieldでのCSRF保護を回避できる脆弱性の解説 — A Day in Serenity (Reloaded) — PHP, CodeIgniter, FuelPHP, Linux or something</a></div></iframe>

プレビュー

規約違反を報告

SameSite攻撃者がCodeIgniter4とShieldでのCSRF保護を回避できる脆弱性の解説 — A Day in Serenity (Reloaded) — PHP, CodeIgniter, FuelPHP, Linux or something

CodeIgniter4とCodeIgniter Shieldでの組み合わせで、CSRF保護を回避できる脆弱性に関するセキュリティ... CodeIgniter4とCodeIgniter Shieldでの組み合わせで、CSRF保護を回避できる脆弱性に関するセキュリティ勧告が2022/08/08に公表されました。今日は、この脆弱性について解説しておきます。 SameSite Attackers may Bypass the CSRF Protection · Advisory · codeigniter4/shield なお、この攻撃方法はCodeIgniterに限定されるものではありません。修正済みのバージョン CodeIgniter 4.2.3 CodeIgniter Shield 1.0.0-beta.2 前提条件この脆弱性を攻撃するには、攻撃者が攻撃対象のサイトと同じドメインのサブドメインサイトを支配下に置いている必要があります。簡単に言えば、サブドメインサイトのページを書き換えられるということです。これはそのサ