うすゆきブログ

セキュリティ週間4日目【備忘録】5/20

2021年5月20日 2021年5月20日

ひとこと感想

メールのリンク開くだけなら大丈夫でしょ。とか甘い認識でいました。アクセスするだけで色々情報抜かれる可能性もあることを知りました。

今日学んだこと

クリックジャッキング

CSRFに似てる。irfameとかcss使ったり、偽のボタンを利用者に押させるやつ。
これで掲示板に問題ある書き込みを他者にさせることができるというもの。Twitterなどは対策されている。
よく考えられているなと…もはや感服する世界です……
そしてこれはバグとかではないので、全てのサイトに当てはまります。
→対策は「X-Frame-Options」!

セッションハイジャック・固定化

セッション成りすましされてもパスワードはわからない→重要なページはパスワード要求する方式はそのため!(←GitHubとかでもあるやつ!)
推測されにくいセッション作るために言語に頼る!自分で作らない!

Refererでの漏洩もある。クッキーを使うこと自体はOK、URLに乗せるのはまずい…
固定化の対策→ログインするたびにセッションID変える!

HTTPS通信でも中間者攻撃でクッキー設定する攻撃は防げない!!!