うすゆきブログ

セキュリティ週間3日目【備忘録】5/19

2021年5月19日 2021年5月19日

一言感想

フレームワークでやったこととセキュリティの知識が結びつきました。

今日学んだこと

1.CSRF(クロスサイトリクエストフォージェリ)

Laravelのbladeだと@csrfするやつですね。
手法としてはXSSとすごく似てる気がします。
怪しいサイトにはアクセスしないが鉄則ですね…どこにiframeが仕込まれているか、気が抜けません…
フォームのhiddenやセッションだけじゃなくて、画像アップロードの箇所からでも仕組まれる可能性あり。

なにより、利用者側が踏み台にされて、その人のIPとしてログが残るのが厄介ですね…実際にIPアドレスで誤認逮捕があったみたいです。

対策必要なのは一部のページでいい。他のサイトから実行されちゃダメなところのみ。(最後の購入とか…)
→本物のサイトでトークンとか要求する←LaravelBladeの@csrfはこれだったのか……!