senooken JP Social
  • FAQ
  • Login
senooken JP Socialはsenookenの専用分散SNSです。

  • Public

    • Public
    • Network
    • Groups
    • Popular
    • People

Conversation

Notices

  1. h12o is fully Modernized (h12o@blessedgeeks.org)'s status on Thursday, 15-Nov-2018 11:39:00 JST h12o is fully Modernized h12o is fully Modernized

    正解が出た。

    僕はiframeの代わりにlink rel="prefetch"を使ったPoCも書いた。

    なお、iframeはブラウザにchgmailform.phpにアクセスさせるためのものなので、X-Frame-Options: SAMEORIGINとかNONEとかが入っていても攻撃は成立する(ことに気付かなかったのがlinkを使った理由)。クリックジャッキング対策はクリックジャッキング対策、CSRF対策はCSRF対策。

    https://blog.tokumaru.org/2018/11/csrf_97.html

    In conversation Thursday, 15-Nov-2018 11:39:00 JST from blessedgeeks.org permalink
    • h12o is fully Modernized (h12o@blessedgeeks.org)'s status on Thursday, 15-Nov-2018 13:25:22 JST h12o is fully Modernized h12o is fully Modernized
      in reply to

      > 警告は出ますが、strcmp関数の戻り値は NULL、すなわち偽と判定される値となることがわかります。これは凄い罠ですね。この挙動はPHPのマニュアルには載っていませんが、User Contributed Notesには掲載されています(→マニュアル)。
      > では、PHPのどのバージョンからこの仕様なのだろうと思ってphpallで調べたところ、PHP 5.3.0から文字列と配列の比較でNULL(警告あり)を返すようになっており、PHP 5.2までは整数 32 を返していました。この仕様変更は ChangeLog にも掲載されていないのですね。

      PHPェ…

      In conversation Thursday, 15-Nov-2018 13:25:22 JST permalink
    • h12o is fully Modernized (h12o@blessedgeeks.org)'s status on Thursday, 15-Nov-2018 23:34:18 JST h12o is fully Modernized h12o is fully Modernized
      in reply to

      間違えました。X-Frame-OptionsはSAMEORIGINかDENYですね。

      In conversation Thursday, 15-Nov-2018 23:34:18 JST permalink

Feeds

  • Activity Streams
  • RSS 2.0
  • Atom
  • Help
  • About
  • FAQ
  • TOS
  • Privacy
  • Source
  • Version
  • Contact

senooken JP Social is a social network, courtesy of senooken. It runs on GNU social, version 2.0.2-beta0, available under the GNU Affero General Public License.

Creative Commons Attribution 3.0 All senooken JP Social content and data are available under the Creative Commons Attribution 3.0 license.