Works by

プログラミング等IT技術関連でメモする

security

【認証】OAuth2.0を簡単に理解する

OAuthとは OAuthとは、複数のWebサービス間で権限の認可を行うための標準的な枠組みです。 あるユーザがサイトA上でアカウント情報などのリソースを持っていて、ユーザが別のサイトB上でAのリソースを使いたいとします。OAuthによってサイトBが認可を受けれ…

セッションに係る脆弱性とその対策② - セッションフィクセーション

本記事は前回の記事に続き、同じくセッションに関する脆弱性であるセッションフィクセーションにまとめる。 セッションフィクセーションとは セッションフィクセーションは、攻撃者が一旦サービスとのセッションを確立してセッションIDを取得した後、そのID…

セッションに係る脆弱性とその対策① - セッションハイジャック

前日の記事では、ユーザがHTTPリクエストにパラメータを乗っける代わりに、セッションを活用する記事を書いた。 セッションを利用することで、クライアントが任意のデータを送信し、それに対応するデータの取得を防止できる(なりすましを防げる)。 但し、…