クロスサイトリクエストフォージェリ脆弱性の解析と防御策
概要
以下のリソースを参考にしました:https://www.freebuf.com/articles/web/118352.html
CSRFとは何か
CSRF(Cross-Site Request Forgery)は日本語で「クロスサイトリクエストフォージェリ」と呼ばれ、XSSと混同されやすいですが、重要な違いがあります。CSRFではCookieを盗むのではなく、既存の認証情報を悪用します。つまり、攻撃者が被害者の身分を装い、本人が気 ...
6月13日 17:52 投稿
AJ-Reportにおけるコマンドインジェクション脆弱性の回避手法と検証
脆弱性の核心は、検証ルールの処理に利用される `engine.eval` メソッドにあります。開発者はセキュリティパッチを適用しましたが、その対策は限定的であり、内部コマンド実行に関わる3つのクラスに対してのみブラックリストによる制限が設けられました。
Java 8で導入されたNashorn JavaScriptエンジンは、スクリプト内からJavaのクラスやメソッドを呼び出すことを可能に ...
5月13日 10:12 投稿