No.33
難易度
★★★☆☆
Web Security Lesson
徳丸浩のウェブセキュリティ講座
クロスサイトスクリプティング(XSS)の緩和策として、CookieにHttpOnly属性を付与する方法が知られていますが、これはどの程度効果があるのでしょうか。デモを通じて、実はHttpOnly属性にはあまりXSS攻撃緩和の効果がないことを紹介します。
本日お伝えしたいこと
スクリプト等:https://github.com/ockeghem/web-sec-study/tree/master/httponly-cookie
Qiitaの記事を見ながら、まったりと雑談します。お昼休みのお供にどうぞ。
Teratailの質問を見ながらだらだら配信します。配信のテストですので内容は期待しないでくださいね。
2020年10月13日に一部報道でauじぶん銀行の「スマホATM」という機能がフィッシング被害にあい、現金を不正に引き出される事件の容疑者が逮捕されました。報道およびauじぶん銀行のリリースを元に、このフィッシングの手口を再現してみます。
他人のIDとパスワードを用いてログインすることを不正ログインと呼びます。この動画では、代表的な不正ログインの手法について解説します。