CSRF

はじめに セキュリティ・キャンプ2021のグループワークの活動で、リレー形式でブログを執筆していくことになりました。 前回のブログはこちらです。 今回のテーマはWebセキュリティ！ といっても私はWebに強くありません。書けることなんて限られています。なのでXSS、CSRF、SSRF辺りをCVEと共に見ていけたらなと思います。基礎的な攻撃手法なので知っている方も多いと思いますが、最近のCVEを選択したので少しは新たな学びがあるといいなと。 変なところがあったら言ってください。 XSS XSS（クロスサイトスクリプティング）は動的に生成されるWebページにおいて、悪意のあるスクリプトが入り込んで…

今回はCORSについてまとめたいと思います。私はよくサーバー側の設定を忘れて、ブラウザに怒られたりしてますが、今ひとつ理解できず、コピペして終わってました。Railsのapiモードでアプリを作る時とかも、よくわからずgem rack-corsとか書いてました。最近、FetchAPIについて学ぶ機会があって、ブラウザからのhttp通信についてちゃんと調べようと思ったのがきっかけでCORSについてもまとめてみました。 corsとは？ CORS（Cross-Origin Resource Sharing）は異なるオリジン間での通信を許可する仕組み。CSRFなどのセキュリティ面から、XMLHttpRe…

最近は N 年間放置していた徳丸本を真面目に読み進めており、今回はその §3.3 CORS についてのアウトプットになります。 CORS について CORS とは『オリジン間リソース共有 (Cross-Origin Resource Sharing) 』の略で、異なるオリジン間でリソースを安全に使用するためにブラウザのサンドボックスに用意された制限の1つです。 CORS に対する理解を自分なりの図にまとめておきます。 （※ の部分について軽く説明します。） flowchart TD A{js が動作するオリジンと\n情報取得するオリジンが同一か ※1} --> |No| B{単純リクエストか …

気になった用語をまとめた Webサービスの基本 WebAPIとは、HTTPなどのインターネット関連技術を利用してプログラムが読み書きしやすい形でメッセージ送受信を行えるよう定義した規約、または規約を実装して展開されるサービスのこと リクエストの中でCRUDに相当するメソッド（POST、GET、PUT、DELETE）が重要 メソッド 意味 GET リソースの取得 POST リソースの新規登録(データ作成時にリソース名が決まっていない、決まっていればPUTになる) PUT リソースの更新 DELETE リソースの削除 冪等(べきとう)とは何度実行しても同じ状態が再現されること データ登録（POST…

1. はじめに 下記の記事の応用として、フォームから画像をアップロードできるようにし、 Pythonの画像処理APIを叩く記事です。 uuktuv.hateblo.jp 2. コントローラーの作成 下記コマンドでコントローラーを新規作成します。 php artisan make:controller UploadController コントローラーの中身は下記のコードにします。 <?php namespace App\Http\Controllers; use Illuminate\Http\Request; use GuzzleHttp\Client; class UploadControl…

↓↓クリックして頂けると励みになります。ランキング参加中プログラミング Ruby on RailsアプリケーションでGoogle Fontsを使用するためには、以下のステップを実行することができます。 Google Fontsはウェブフォントを提供し、アプリケーションに美しいフォントを追加するのに役立ちます。 サイト fonts.google.com 上記のサイトで選んだフォントをサイトに適用することができます。 まずは「Kosugi Maru」というフォントを適用してみます。 https://fonts.google.com/specimen/Kosugi+Maru?subset=japan…

↓↓クリックして頂けると励みになります。ランキング参加中プログラミング Ruby on Railsの"Noty"は、通知メッセージを簡単に表示するためのJavaScriptライブラリです。 Notyは、ウェブアプリケーションやウェブサイトで、ユーザーにメッセージや通知を表示するための美しくカスタマイズ可能なポップアップ通知を生成するのに役立ちます。 試しているRailsのバーションは6です。 notyのデザインについては以下を参照して下さい。 ned.im notyはyarnを使ってインストールします。 コマンド yarn add noty 「app\javascript\packs\appl…

目次 目次 概要 Web開発における「リソース」とは オリジンとは オリジンへのネットワークアクセスについて Same-origin policyとは 別オリジンのリソースへのアクセスだけどSame-origin policyの制約がないものについて CORSとは CORSを利用する際のざっくりとした手順 別オリジンにHTTPリクエストをする際の2つのリクエストについて シンプルリクエストとは プリフライトリクエストとは Same-origin policyやCORSが存在する理由 補足) CSRFとは ここまでのSame-origin policyとCORSについてのまとめ Same-ori…

nginxのwelcomeメッセージが表示される（自分の作成したアプリではない） $ sudo vim /etc/nginx/nginx.conf 内の設定を変更(include /etc/nginx/sites-enabled/*;をコメントアウトに) include /etc/nginx/conf.d/*.conf; # include /etc/nginx/sites-enabled/*; server { listen 0.0.0.0:80; server_name ik1-343-31774.vs.sakura.ne.jp; location / { proxy_pass http:…

Laravel JetStreamとは ※スカフォールド・・・ Laravel Sunctomとは ※Authorizationヘッダ・・・ ※OAuth・・・ Laravel JetStreamとは Laravel JetStreamは、Laravelのためのに美しくデザインされたアプリケーションのスカフォールドです。ログイン、ユーザー登録、メール確認、２要素認証、セッション管理、Laravel Sanctumを使ったAPI、オプションとしてチーム管理を含んだ、次のLaravelアプリケーションの完璧なスタートポイントを提供します。JetstreamはTailwind CSSを使用しデザイン…

こんばんわ！本日もCNDの勉強をしていきます！お付き合いいただけると嬉しいです♪前回は、ネットワークレベルでの攻撃についてまとめました。興味ある方は下記を読んでみてください～ learnketyia.hatenablog.jp 今回は第３回「アプリケーションレベルの攻撃」についてまとめていきます！ アプリケーション攻撃用語 SQLインジェクション 一連の悪意のあるSQLクエリを使用してデータベースを直接操作する攻撃 XSS攻撃 （クロスサイトスクリプト） 攻撃者が、他ユーザが閲覧するサイトにスクリプトを注入できるようにする攻撃 ディレクトリートラバーサル攻撃 ソースコードや設定ファイルのような…

前提 コマンドライン アプリ作る sail立ち上げ sail 〇〇 が使えるようにする breez(全部のっけ的なスターターキット) 日本語化 モデル作成(マイグレーション付き) マイグレートする マイグレートしたやつを戻す マイグレーションファイル追加(カラム追加) コントローラー作成(resource付き) コンポーネント作成 tinker 起動 モデル全件取得 モデル1件取得 モデルに何のカラムが入ってるか見る モデル belongsTo hasMany submitで受け付けるパラメーターを設定 コントローラー ビューを指定 インスタンスを作る インスタンスに代入 インスタンスに代入(…

情報処理安全確保支援士の試験合格を目指し、毎週略語に重点を置いて取り上げます。 それでは、学習スタートです！ ■SSP(Stack Smashing Protection)スタック領域に「カナリア」もしくは「guard」と呼ばれる値を埋め込むことでBOF攻撃を検知する技術。コンパイラによって生成される中間言語にBOF検出のためのコードを生成する。「カナリア」という呼称は炭鉱などで危険なガスの検知にカナリアが使われていたことからきている。 ■XSS(Cross Site Scripting)WebアプリケーションやWebページを操作するJavaScriptなどの脆弱性を利用し、HTMLに悪質なス…