CSRF対策の一つにワンタイムトークンを発行する形式がある。 しかし単純に実装するだけでは以下の方法で破られてしまう危険性がある。1). ログイン画面にワンタイムトークンがあると想定する。 <input type="hidden" name="__token" value="asfas5j54pXxh"> 2). 攻撃者はログイン画面と全く同じページを別のサーバ等に作…

前回で空メール受信時にCAKEのシェルが起動するようになりました。今回はシェルの中身をどう書けばよいのかについて軽く触れたいと思います。4). receiver.sh の中身 ※ CAKEPHPの場合メールの中身がDispatch->stdinに格納されています。 $stdin = $this->Dis…

sendmail + CAKEPHPで作成しました。 ※ CentOS5.2環境まずはメール受信と同時にシェルを起動するようにします。1). /etc/aliasesに追記を行なう。 empty: "|/var/www/html/receiver.sh" #空メール受信時 error: "|/var/www/html/error_receiver.sh" #エラー…

CAKEPHPでデータベース関連のログを出力する為のメモ。 CAKEは1.2系です。Queryエラーをキャッチする。cake/libs/model/datasources/dbo_source.php function execute($sql, $options = array()) { if($this->error) { if(defined('LOG_SQL') && LOG_SQL) { …