45-900 :CSRFの罠(単純版) 45-901 :CSRFの罠(iframe版)について

[SUMORURU]

お世話になっております。

ハンズオンを実施している最中、うまく動作しないため確認させてください。

45-900 :CSRFの罠(単純版)
45-901 :CSRFの罠(iframe版)

こちらを実施しても

「 さんのパスワードをcrackedに変更しました 」となり

yamadaが表示されません。

45-001 :パスワード変更(正常系)を実施た後と

罠を実施した後の通信を見比べるとセッションIDが異なりました。

恐らくセッションIDが一致していないためかと思います。

こちらは現代のfirefox(147.0.2 (64 ビット))では演習が難しいでしょうか。

解消する方法があればお伺いしたいです。
もしくは実施の仕方が悪いのでしょうか。

(ページ上から順に実施しています。)

■環境

firefox 147.0.2 

virtualbox 7.1.10

zap 2.10

■試したこと

・強化型トラッキング防止機能をオフ(example trapともに)

・ network.cookie.sameSite.laxByDefault：false

・network.cookie.sameSite.noneRequiresSecure：false

・network.cookie.cookieBehavior：０

・privacy.firstparty.isolate：false

[徳丸浩]

徳丸です。こんにちは。

Firefoxの最新版（147.0.3、64ビット版）で確認しましたが、想定通りの動作でした。

まったく設定を変更していないFirefoxでも、45-900は動きますが、45-901は動きません。

trap.exampoe.comの強化型トラッキング防止をオフにすると、45-900、45-901ともに動きます。

原因は今のところ思い当たりませんが、まずは、当方の環境では最新のFirefoxでも動くことを報告いたします。

2026年2月5日(木) 18:34 SUMORURU <zelda...@gmail.com>:

--
このメールは Google グループのグループ「「体系的に学ぶ 安全なWebアプリケーションの作り方」サポートML」に登録しているユーザーに送られています。
このグループから退会し、グループからのメールの配信を停止するには wasbook-reade...@googlegroups.com にメールを送信してください。
このディスカッションを表示するには、https://groups.google.com/d/msgid/wasbook-readers/450ef9e4-20b4-495d-bf92-1f3b1f896462n%40googlegroups.com にアクセスしてください。

--

徳丸浩 htok...@gmail.com

[SUMORURU]

ご連絡ありがとうございます。

原因がわかったので解消できました。
原因はhttp://192.168.56.101をブックマークで登録していたため、
毎回演習環境にURLを192.168.56.101と指定してアクセスしていました。
example.jpとしてアクセスしたら解消出来ました。

お手数おかけして申し訳ございません。

2026年2月6日金曜日 21:19:57 UTC+9 徳丸浩:

[徳丸浩]

徳丸です。こんにちは。

原因がわかってよかったですね。引き続き、よろしくお願いいたします。

2026年2月6日(金) 22:22 SUMORURU <zelda...@gmail.com>:

このディスカッションを表示するには、https://groups.google.com/d/msgid/wasbook-readers/68bf7ebe-6d6b-4069-acc8-f8a321efa828n%40googlegroups.com にアクセスしてください。

--

徳丸浩 htok...@gmail.com