Security
OAuthとは OAuthとは、複数のWebサービス間で権限の認可を行うための標準的な枠組みです。 あるユーザがサイトA上でアカウント情報などのリソースを持っていて、ユーザが別のサイトB上でAのリソースを使いたいとします。OAuthによってサイトBが認可を受けれ…
本記事は前回の記事に続き、同じくセッションに関する脆弱性であるセッションフィクセーションにまとめる。 セッションフィクセーションとは セッションフィクセーションは、攻撃者が一旦サービスとのセッションを確立してセッションIDを取得した後、そのID…
前日の記事では、ユーザがHTTPリクエストにパラメータを乗っける代わりに、セッションを活用する記事を書いた。 セッションを利用することで、クライアントが任意のデータを送信し、それに対応するデータの取得を防止できる(なりすましを防げる)。 但し、…