GET,POST

GETで渡す情報にユーザーの身元が特定できるものを不必要につけてはいけない。同じ情報をPOSTにしてもHTTPヘッダーモニターツール(LiveHttpHeaders)などでいくらでも改ざんできるのでログインの曲面以後はセッションを利用すべきである。

セッションの受け渡し

言語標準でセッション管理が備わっている場合はあまり意識しなくていい。ただし携帯開発などではCOOKIEが使えないので、GETパラメータに加えるように変更する必要がある。スタティックなページでもセッションを維持できる方法がある。それは上位ディレクトリにセッションIDを埋め込んでおいて、mod_rewriteで書き換えるのである。

http://rutake.com/9803/index.php →index.php?session=9803

セッションハイジャック

セッションIDを盗んで他人のログイン後の画面に侵入するものである。漏洩パターン配下のとおり

  1. 単純なセッションID付与による類推(単なる連番とか)
  2. REFERERによるセッションIDの取得
  3. XSSなどによるCOOKIE情報の取得

perlの汚染検出オプション

汚染文字列の危険性のチェックをしてくれるモード

perl -T

Counter: 5542, today: 1, yesterday: 0
トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS