PowerAutomateで アクセス時sessionとXSRF-TOKENを含む応答ヘッダを取得 ↓ フォーム認証に必要な値を渡して応答ヘッダを取得 ↓ 各種値を出力 これが一番スマートかなぁ

Web系攻撃はこの4つから。 悪意のあるスクリプトってKWは同じ。 ・XSS：偽サイトに誘導 ・XSRF（CSRF）：別サイトで意図しない操作 あと2つ。 ・SQLインジェクション：データベースを不正利用 ・ディレクトリトラバーサル：直接ファイルを指定しアクセス note.com/sennai/n/n0b16… #ITパスポート試験

【Webシステムでのやらかし】 ぼく「ブラウザを閉じてもセッションを一定期間有効にするよ」 セッションCookie「有効期限が設定されました」 ぼく「ブラウザを閉じるよ」 XSRFトークンCookie「グエー死んだンゴ」 ぼく「ブラウザを起動するよ」 システム「XSRFを検出しました」 ぼく「あれ？」

クレジットカード事案。 こういうの読んで毎度毎度思うけど、もうSQLインジェクションと同レベルで、XSSやらXSRFとかも、確認すべきだと思う。。 カード情報取り扱うなら尚更。。 alpha-uni.com/topics/57875_2…