常連

## テーマ、知りたいこと

ここに質問(意見)を聞いていいのかわかりませんが...

![![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2023-07-03/9fe0c95c-8850-4897-980e-5873410a3b66.png)](https://ddjkaamml8q8x.cloudfront.net/questions/2023-07-03/e6c6c25e-b2a8-4990-bc8d-a6d38b65085c.png)

このような図において，**コンピュータウイルスに含まれないランサムウェアが存在するのか**，ということに疑問を持っています．

## 背景、状況

![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2023-07-03/b04be907-9a6b-4b4c-8887-2fbd502340a9.png)

のような図をネット上で見つけたのですが(ランサムウェアはマルウェアと何が違うのか？ | サイバーセキュリティ情報局 [https://eset-info.canon-its.jp/malware_info/special/detail/191031.html](https://eset-info.canon-its.jp/malware_info/special/detail/191031.html))，ランサムウェアに含まれないウイルスや，トロイの木馬などがあると思うので間違っていると考えたのですが，狭義のコンピュータウイルスに含まれないランサムウェアががあるのかということに疑問を持ちました．

有識者の方がおられましたらお教えいただきたいです．
また，こうじゃないかという意見がありましたらぜひお願いします！

狭義のコンピュータウイルスに当てはまらない(属さない)ランサムウェアは存在すると思いますか？

Webサイトの中にはhttpsがない（暗号化されていない）ものがありますが、それらのサイトはどのように作られていると考えられますか？　今、とあるサイトを見ていたのですがそのサイトがhttpsがついておらずどのように作られたか（公開されたか）気になったので質問しました。そのサイトは独自ドメインはついてることは確認しています。

私の予想→しっかりしたレンタルサーバー借りたらhttpsはつきますよね？そう考えると無料のレンタルサーバーを使ったのかなと思っています。

【Webサイト】httpsがないサイトはどうやって作られていますか？

### 実現したいこと
ログイン不要で使用できる翻訳サイトをnext.jsにて作成しています。
作成にあたりサイト内にAPIを設置するのですが、そのAPIの保護方法について教えていただきたいです。

### 発生している問題・分からないこと
ログイン不要で使用できるようにしたいため、APIの保護方法が全く分かりません。
具体的にはAPIを自分の作成するサイト以外から使用できないようにしたいのです。

自分のサイトのフロントエンドのみリクエストを許可し、別の人が作ったプログラムなどからリクエストをしても使用できないように、ということです。



### 該当のソースコード

```
特になし
```

### 試したこと・調べたこと
- [x] teratailやGoogle等で検索した
- [ ] ソースコードを自分なりに変更した
- [ ] 知人に聞いた
- [x] その他

##### 上記の詳細・結果
JWTトークンを利用しようかと思って以下のような実装をした

サイトにアクセスすると自動的にトークンを発行
↓
HttpOnlyCookieにトークンを保存
↓
トークンとともにAPIにアクセス
↓
トークンの期限が切れていたら再度トークン取得

でもこれでは意味ないのでは、と思いました。
攻撃者がトークンを発行するAPIを叩いたら不正利用できてしまうし、これだけならばトークンを使っても使わなくてもリスクはそこまで変わらないのでは、と....

### 補足
提案いただけますと幸いです。
こう検索すれば出てくるよなどでも構いません。

DeepLの場合APIリクエストを単純に再送信してもエラーが出てしまうのですが、どうしてなのでしょうか。
どういった仕組みなのでしょうか。
![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2024-08-31/72b34c77-37c8-4b17-bc49-46075f9c7788.png)

![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2024-08-31/ea49d5dd-2eb5-4706-b018-fc2674ee436e.png)

【短文可】ログイン不要なサイトにおけるAPIの保護手法について

### 実現したいこと
windows 11 を起動、パスワードを入力してログインするして、数分たつと
アバストセキュリティが「不明なデバイスが接続しました。」とメッセージがありました。
まったく身に覚えがないので、色々設定をいじりましたが、パスワードが漏洩したようで、
朝一回あり、変更して、夕方にもう一回ありました。
どこからか、漏洩しているようですが、そもそも「不明なデバイス」をネットワークに
接続できなくなるような方法はないでしょうか？
海外からのアクセス遮断方法でもいいです。

### 発生している問題・分からないこと
現在、問題は発生していませんが、文字入力が遅くなる時があります。
ファイルスキャンしているのか、ディスク使用率が高い（１００％）です。
もちろん、電源を切って、設定をいじりました。
問題は発生していません。

### エラーメッセージ
```error
エラーは発生していない。
```

### 該当のソースコード

```
特になし
```

### 試したこと・調べたこと
- [x] teratailやGoogle等で検索した
- [ ] ソースコードを自分なりに変更した
- [ ] 知人に聞いた
- [ ] その他

##### 上記の詳細・結果
![不明なデバイス](https://ddjkaamml8q8x.cloudfront.net/questions/2024-09-06/5c0b6e80-47cb-4863-aa87-88073c41cec6.gif)
![海外からのポートスキャン](https://ddjkaamml8q8x.cloudfront.net/questions/2024-09-06/a6d64dff-3f03-42ae-9019-4e716bb3a0fe.gif)


### 補足
ネットワークの知識はpingくらいしかしらない

[ネットワーク] 不明なデバイスが接続してくるので、接続をきりたい。今後も接続できないようにする方法を知りたい。

iframeのsandboxを使うシチュエーションが思いつかないです。ウェブサイトでどのようなことをしたいときに使うのでしょうか？

iframeのsandbox属性は何のためにあるのか

PHPでメールフォームを作成したので、脆弱性がないかアドバイスいただけないでしょうか。
エンジニアでもなければ、PHPもろくに書けない雑魚ですが、「[php メールフォーム 作り方](https://www.google.co.jp/search?q=php+%E3%83%A1%E3%83%BC%E3%83%AB%E3%83%95%E3%82%A9%E3%83%BC%E3%83%A0+%E4%BD%9C%E3%82%8A%E6%96%B9&ie=utf-8&oe=utf-8&client=firefox-b-ab&gfe_rd=cr&ei=6NrkWKWOBuzZ8AfguCs)」でググって表示されるサイトを見ると、「んんんんん？？？」と思うところがあります。
これらを参考にしたり、コピペする方は、記述されているコードの良し悪しは判断できないかと思います。
そのような方々が参考にできるメールフォームを作りたいという思いで、調べて作りました。
周りに書いたコードを確認してもらえる人もいないので、皆様からのアドバイスがほしいです((_ _ (´ω｀ )ﾍﾟｺ

このメールフォームは、下記を対象者としています。

- php メールフォーム 作り方 でググってコピペする方
- コピペして動けばいいと考えている方
- if文や関数など基本的な記述はわかるけど、クラスとか理解していない方
- 脆弱性？なにそれ？という方

そのために、このメールフォームは下記の点を意識して作成しました。

- **コピペしたら動く**
- **なるべく難しい記述はしない、記述量を減らす**
- 処理を中断する die を使っていないので、表示したい箇所にコピペすれば動く
- PHP5.2.xまで想定し、環境（magic_quotes_gpc、セーフモード）に依存しない
- 肝心の脆弱性対策はクリックジャッキング、CSRF、XSS、メールヘッダインジェクションを考慮

最終的にはコード＋説明した記事を作成してQittaに投稿する予定です。
問題があれば、詳しい方々からアドバイスやご指摘があるはずなので...

**皆様から見て、脆弱性や気になる点などあれば、アドバイスもらえると嬉しいです((_ _ (´ω｀ )ﾍﾟｺ**
至らないところがあれば、調べますので、ご指摘だけでも頂けると嬉しいです。
お願いします。

入力（`index.php`） → 確認（`confirm.php`） → 送信（`send.php`） と画面を遷移してメールを送ります。

```php
<?php
// 他のサイトでインラインフレーム表示を禁止する（クリックジャッキング対策）
header('X-FRAME-OPTIONS: SAMEORIGIN');

// セッション開始
session_start();

// HTML特殊文字をエスケープする関数
function h($str) {
	return htmlspecialchars($str,ENT_QUOTES,'UTF-8');
}

/* --------------------------------------------------
	トークンの作成（CSRF対策）

	※使用しているPHPのバージョン・環境にあわせて
	 トークンを選んでね。不要なトークは削除してね。
-------------------------------------------------- */

// PHP 7.0 以降
if(!isset($_SESSION['token'])) {
	$_SESSION['token'] = bin2hex(random_bytes(32));
}

// PHP 5.3 ～ 5.x ※OPENSSL導入済
if(!isset($_SESSION['token'])) {
	$_SESSION['token'] = bin2hex(openssl_random_pseudo_bytes(32));
}

// PHP 5.3 未満
if(!isset($_SESSION['token'])) {
	$_SESSION['token'] = hash('sha256', session_id());
}

// トークンを代入
$token = $_SESSION['token'];

?>
<!DOCTYPE html>
<html lang="ja">
<head>
<meta charset="UTF-8">
<title>入力画面</title>
</head>
<body>

<h1>お問い合わせ（入力画面）</h1>

<form method="post" action="confirm.php">
<table>
	<tr>
		<th>お名前（必須）</th>
		<td><input type="text" name="name"></td>
	</tr>
	<tr>
		<th>ふりがな（必須）</th>
		<td><input type="text" name="ruby"></td>
	</tr>
	<tr>
		<th>メールアドレス（必須）</th>
		<td><input type="text" name="mail"></td>
	</tr>
	<tr>
		<th>内容（必須）</th>
		<td><textarea name="content"></textarea></td>
	</tr>
</table>
<input type="hidden" name="token" value="<?php echo h($token); ?>">
<button>送信内容確認</button>
</form>
</body>
</html>
```

```php
<?php
// 他のサイトでインラインフレーム表示を禁止する（クリックジャッキング対策）
header('X-FRAME-OPTIONS: SAMEORIGIN');

// セッション開始
session_start();

// HTML特殊文字をエスケープする関数
function h($str) {
    return htmlspecialchars($str,ENT_QUOTES,'UTF-8');
}
?>
<!DOCTYPE html>
<html lang="ja">
<head>
<meta charset="UTF-8">
<title>確認画面</title>
</head>
<body>

<h1>お問い合わせ（確認画面）</h1>

<?php

// セッション変数がなければ、空文字を代入
if(!isset($_SESSION['token'])) {
    $_SESSION['token'] = '';
}

// POSTされたデータを変数に代入（magic_quotes_gpc = On ＋ NULLバイト 対策）
foreach (array('token','name','ruby','mail','content') as $v) {
    $$v = filter_input(INPUT_POST, $v, FILTER_DEFAULT, FILTER_FLAG_STRIP_LOW);
}

// トークンを確認し、確認画面を表示
if($token !== $_SESSION['token']) {

    echo '<p>お問い合わせの手順に誤りがあります。<br>お手数ですが、最初からやり直してください。</p>';

} else {

    $error_flag = 0;

    // 必須項目は未入力をチェック
    if ($name === '') {
        echo '<p>お名前をご入力してください。</p>';
        $error_flag = 1;
    } elseif (mb_strlen($name) > 50) {
        echo '<p>お名前は 50 文字以内で入力してください。</p>';
        $error_flag = 1;
    }

    if ($ruby === '') {
        echo '<p>ふりがなをご入力してください。</p>';
        $error_flag = 1;
    } elseif (mb_strlen($ruby) > 50) {
        echo '<p>ふりがなは 50 文字以内で入力してください。</p>';
        $error_flag = 1;
    }

    if ($mail === '') {
        echo '<p>メールアドレスをご入力してください。</p>';
        $error_flag = 1;
    } elseif (mb_strlen($mail) > 100) {
        echo '<p>メールアドレスは 100 文字以内で入力してください。</p>';
        $error_flag = 1;
    } elseif (!filter_var($mail, FILTER_VALIDATE_EMAIL)) {
        echo '<p>メールアドレスの形式が正しくありません。</p>';
        $error_flag = 1;
    }

    if ($content === '') {
        echo '<p>内容をご入力してください。</p>';
        $error_flag = 1;
    } elseif (mb_strlen($content) > 500) {
        echo '<p>内容は 500 文字以内で入力してください。</p>';
        $error_flag = 1;
    }

    // エラーがある場合は、戻るボタンを表示し、エラーがない場合は、確認画面を表示
    if ($error_flag === 1) {
        echo '<button onClick="history.back(); return false;">戻る</button>';
    } else {
        // セッション変数に代入
        $_SESSION['name'] = $name;
        $_SESSION['ruby'] = $ruby;
        $_SESSION['mail'] = $mail;
        $_SESSION['content'] = $content;

        // 確認用画面の表示
    ?>

        <form method="post" action="send.php">
            <table>
                <tr>
                    <th>お名前</th>
                    <td><?php echo h($name); ?></td>
                </tr>
                <tr>
                    <th>ふりがな</th>
                    <td><?php echo h($ruby); ?></td>
                </tr>
                <tr>
                    <th>メールアドレス</th>
                    <td><?php echo h($mail); ?></td>
                </tr>
                <tr>
                    <th>内容</th>
                    <td><?php echo nl2br(h($content)); ?></td>
                </tr>
            </table>
            <input type="hidden" name="token" value="<?php echo h($token); ?>">
            <button>送信</button>
        </form>

<?php
    }
}
?>
</body>
</html>
```

```php
<?php
// 他のサイトでインラインフレーム表示を禁止する（クリックジャッキング対策）
header('X-FRAME-OPTIONS: SAMEORIGIN');

// セッション開始
session_start();

// mb_send_mail のエンコーディング
mb_language('ja');

// 内部文字エンコーディングを設定
mb_internal_encoding('UTF-8');
?>
<!DOCTYPE html>
<html lang="ja">
<head>
<meta charset="UTF-8">
<title>送信画面</title>
</head>
<body>

<h1>お問い合わせ（送信画面）</h1>

<?php

// セッション変数がなければ、空文字を代入
if(!isset($_SESSION['token'])) {
    $_SESSION['token'] = '';
}

// POST['token']の値をtoken変数に代入
$token = filter_input(INPUT_POST, 'token', FILTER_DEFAULT, FILTER_FLAG_STRIP_LOW);

// 各セッション変数を各変数に代入
$name = isset($_SESSION['name']) && is_string($_SESSION['name']) ? $_SESSION['name'] : '';
$ruby = isset($_SESSION['ruby']) && is_string($_SESSION['ruby']) ? $_SESSION['ruby'] : '';
$mail = isset($_SESSION['mail']) && is_string($_SESSION['mail']) ? $_SESSION['mail'] : '';
$content = isset($_SESSION['content']) && is_string($_SESSION['content']) ? $_SESSION['content'] : '';

// トークンの値が一致しない場合は、エラー文を表示し、一致する場合は送信する
if($token !== $_SESSION['token']) {

    echo '<p>送信後に再度アクセスされたか、お問い合わせの手順に誤りがあります。<br>お手数ですが、最初の画面からご入力ください。<p>';

} else {

    /*  運営側へ送信するメールの設定  */

    // 送信先のメールアドレス
    $to      = 'xxxxxx@xxxxx.xxxx';
    // 件名
    $subject = '【お問い合わせからの送信】○○○○○○○○○○';
    // 本文
    $message = "◆お名前\n$name\n\n◆フリガナ\n$ruby\n\n◆メールアドレス\n$mail\n\n◆内容\n$content";
    // オプション
    $option = '-f'. $to;


    /*  問い合わせされた方へ自動返信するメールの設定  */

    // 件名
    $auto_subject = '【お問い合わせ】○○○○○○○○○○';
    // 送信元のメールアドレス
    $auto_from    = 'From:' . $to;
    // 本文
    $auto_message = "
※このメールは自動返信によるものです。

$name 様

このたびは、お問合せいただき、誠にありがとうございました。

お送りいただきました内容を確認の上、担当者より折り返しご連絡させていただきます。
    ";

    /* セーフモードがONの場合は、mb_send_mailの第5引数が使えないため、処理を分岐して送信 */
    if(ini_get('safe_mode')) {

        /*  運営側と自動返信のメールの送信が完了したら、送信完了の文章を表示する  */
        if(mb_send_mail($to, $subject, $message, "From:$mail") && mb_send_mail($mail, $auto_subject, $auto_message, $auto_from)) {
            echo '<p>このたびは、お問合せいただき、誠にありがとうございました。<br>お送りいただきました内容を確認の上、担当者より折り返しご連絡させていただきます。</p>';
        } else {
            echo '<p>大変申し訳ございませんが、メールの送信に失敗しました。<br>お手数ですが最初からやり直してください。</p>';
        }

    } else {

        /*  運営側と自動返信のメールの送信が完了したら、送信完了の文章を表示する  */
        if(mb_send_mail($to, $subject, $message, "From:$mail", $option) && mb_send_mail($mail, $auto_subject, $auto_message, $auto_from, $option)) {
            echo '<p>このたびは、お問合せいただき、誠にありがとうございました。<br>お送りいただきました内容を確認の上、担当者より折り返しご連絡させていただきます。</p>';
        } else {
            echo '<p>大変申し訳ございませんが、メールの送信に失敗しました。<br>お手数ですが最初からやり直してください。</p>';
        }

    }

}

// セッションの破棄
$_SESSION = array();
session_destroy();

?>
</body>
</html>
```

## **2017.04.11 追記**

徳丸氏による、脆弱性の解説です。

- [teratailに投稿されたメールフォームにCSRF脆弱性が残存した理由 | 徳丸浩の日記](http://blog.tokumaru.org/2017/04/teratailcsrf.html)

ありがとうございます((_ _ (´ω｀ )ﾍﾟｺ

【PHP】作成したメールフォームに脆弱性がないか、アドバイスもらえないでしょうか。

お世話になっております。
現在、tomcatについてわからないことがあるので、質問いたします。

###前提・実現したいこと
tomcatを利用して、サイトを起ち上げています。
tomcatと同一PCのブラウザから、該当サイトに接続できます。
しかし、LAN上の別PCのブラウザからアクセスできません。
サーバー側PCのファイアーウォールを切ればアクセスできるのですが、
ファイアーウォールを切らずにアクセスするには、どうすればいいでしょうか？

Tomcat 8.0
Windows7 Professional
Google Chrome 55.0.2883.87

###発生している問題・エラーメッセージ

```
このサイトにアクセスできません
172.16.22.20 からの応答時間が長すぎます。
```

###試したこと
Windowsファイアーウォールの、受信の規則を下記のように作りましたが、変化がありませんでした。
 ・新しい規則
 ・ポート
 ・TCP 特定のローカルポート 8080
 ・接続を許可する
 ・ドメイン、プライベート、パブリック（全チェック）


よろしくお願いいたします。

tomcatで、ローカルネットワーク内別PCから接続したい

### 前提
CSRF攻撃対策について調べています。

前提として以下を仮定します
* a.com は攻撃者の管理下にあるWebサイト
* b.com は攻撃対象の掲示板Webサイト

攻撃シナリオ
1. 攻撃者が a.com に以下スクリプトを追加する
```js
const formData = new FormData();
formData.append("message", "hello");

await fetch('https://b.com/post', {
  metho: 'post',
  data: formData
})
```

2 ユーザーがa.comにアクセスする
3. (1)のスクリプトが実行される
4. b.comに`hello`が書き込まれる

### 質問
![](https://ddjkaamml8q8x.cloudfront.net/questions/2024-02-12/d132661d-d092-4c56-93c3-011f3cbfea53.jpeg)
画像引用元: https://tech.basicinc.jp/articles/231

上記画像について、「攻撃者はトークンを知ることができない」と書いています。
しかし、攻撃シナリオの1を以下の様に変更した場合、トークンを知ることが可能になり、攻撃が成立するのではないでしょうか？

### 該当のソースコード

```js
// トークンを取得する
const response = await fetch('https://b.com/')
const html = await response.text()
// 正規表現やDOMセレクタを利用してトークンを取得する
const csrfToken = html.getCSRFToken()

const formData = new FormData();
formData.append("message", "hello");
// CSRFトークンを追加する
formData.append("csrfToken ", csrfToken);

await fetch('https://b.com/post', {
  metho: 'post',
  data: formData
})
```

### 試したこと
a.com を localhost:80、b.com を localhost:81 としてローカル環境で試してみました。
しかし、Google ChromeではCORSの問題が発生して実際に攻撃は成功しませんでした。
（こちらはまた別問題な気がするので、質問が複雑にならないように今は問題を保留します。）

本来であれば「単純リクエスト」に該当するので、GETでCSRFトークンが取得できてしまうと思います。
https://developer.mozilla.org/ja/docs/Web/HTTP/CORS#%E5%8D%98%E7%B4%94%E3%83%AA%E3%82%AF%E3%82%A8%E3%82%B9%E3%83%88


### 補足情報（FW/ツールのバージョンなど）
- Google Chrome 121.0.6167.161


セキュリティー