[misc]ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない
http://takagi-hiromitsu.jp/diary/20070512.html#p01
この脆弱性って、認証機能を汎用的にすると、やってしまう機能であったりする。はてなはWebAPIを公開したりと、認証機能を他システムに連携できるようにしているので、見落としてしまうこともありえるんだよなぁ。。。
http://takagi-hiromitsu.jp/diary/20070512.html#p01
この脆弱性って、認証機能を汎用的にすると、やってしまう機能であったりする。はてなはWebAPIを公開したりと、認証機能を他システムに連携できるようにしているので、見落としてしまうこともありえるんだよなぁ。。。