ウェブサイトがJavaScriptとCookieなしで個人を追跡する方法が一発で理解できる「No-JavaScript fingerprinting」
「フィンガープリント」とは、JavaScriptやCookieなしでウェブサイトのユーザーを識別するための固有識別子で、ユーザーの属性・行動・興味・関心といった詳細な情報をもとにマッチする広告を表示するターゲティング広告に用いられます。そんなフィンガープリントが、JavaScriptやCookieを使わずにどうやってユーザーを特定しているのかがよくわかるサイト「No-JavaScript fingerprinting」が公開されています。 No-JavaScript fingerprinting https://noscriptfingerprint.com/ 今回はGoogle ChromeからNo-JavaScript fingerprintingにアクセスしてみます。アクセスする前に、JavaScriptを使用しないようにあらかじめブラウザから設定しておきます。Chromeの右上にあ
CVE-2020-8617のPoCについての解説 - knqyf263's blog
概要 BINDの脆弱性であるCVE-2020-8617が公開されました。そのPoCコードを自分で書いてみたので解説しておきます。 GitHub上で公開されているPoCは見つからなかったので世界初か?!と思っていたのですが @shutingrz さんから既にISCのGitLabで公開されていることを教えてもらいました。以下のやつだと思います。 gitlab.isc.org ということで時間を無駄にした感じもありますが、上のコードを見ただけではなぜそれが攻撃につながるのか理解するのは難しいと思うので、自分で書いてみたのは勉強のためには良かったです。既に公開されているということなので自分のPoCも心置きなく置いておきます。PythonのScapy版なので教育用途で役には立つかなと思います。 github.com 少なくともBINDのバージョン9.12.4で試した限りではほぼデフォルト設定で攻撃が
OAuth・OIDCの攻撃と対策を整理して理解できる本(リダイレクトへの攻撃編):Auth屋
■ はじめに 本書は Auth 屋の「雰囲気 OAuth シリーズ」第三弾であり、OAuth と OpenID Connect への攻撃と対策についての本です。攻撃全般ではなく、攻撃対象として一番狙われる「リダイレクト 部分への攻撃」に特化した内容になっています。リダイレクト部分への攻撃の仕組 みと、state、nonce をはじめとした対策についての仕組みを理解すれば、雰囲気 OAuth使い を脱したと言えるでしょう。 ■ 想定読者 • OAuth・OIDC について用語、概念、仕組みはだいたい理解してる(Auth 屋 の前著は読んだ!) • state、nonce、PKCE、c_hash、at_hashは聞いたことはある。理解はして ない。 • クライアント、リライング・パーティとしてアプリを作るかもしれない もし OAuth・OIDC についての理解があ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
