ブラックリストよりもホワイトリスト 入力値を信用しない。UIで制限していても。 入力値を表示などに利用する場合はサニタイズ 入力値をSQLに組み込む場合は無力化。PDOが有効 ヘッダは改ざん可能を前提に考える Cookieに大切な(アカウントなどの)情報を入れ…

スパムメール踏み台攻撃とは、メールフォームを使用しているサイトの中で、フォームから送信メールアドレスを指定できる場合、リクエストを偽装することでスパムメールを送る攻撃です。 スパムメール踏み台攻撃 攻撃側 メールフォームの宛先をhiddenで送って…

注意 ※この記事は、主の勘違いしている情報も含まれています。 セッションハイジャック攻撃とは、不正なセッションキーを自分ではない利用者に使わせたり、逆に他の利用者のセッションキーを盗み出す攻撃のことです。セッションハイジャックを行うと、対象者…

ファイルアップロード攻撃です。 ファイルをアップロードさせた後、アップロードしたファイルを踏んでのPHPコードやJavascriptを実行させる攻撃です。 この攻撃の脅威は、 アップロードしたいファイルにスクリプトを仕込んで置く 転送したファイルを”システ…