セッションIDの固定化攻撃

やられアプリ BadTodo - 14 セッション管理の不備

前回:やられアプリ BadTodo - 13 クリックジャッキング - demandosigno HTTPプロトコルはステートレスで、サーバー側では状態を保持しません。しかしアプリケーションでは状態を保持したい場合があります。典型例としてよく紹介されるのがECサイトの「ショ…

やられアプリ BadTodo - 11 HTTP ヘッダ・インジェクション

前回:やられアプリ BadTodo - 10.7 XSSによるCSRF対策の突破 - demandosigno ウェブアプリケーションの中には、リクエストに対して出力する HTTP レスポンスヘッダのフィールド値を、外部から渡されるパラメータの値等を利用して動的に生成するものがありま…

/* -----codeの行番号----- */