はじめに はじめまして、セキュリティエンジニアのSatoki (@satoki00) です。今回はブラウザの開発者ツールのネットワークタブから隠れて、Webサイト内の情報を送信する手法をまとめます。所謂Exfiltrationというやつです。中にはCSPの制限をBypassするために用いられるテクニックもあります。CTFなどで安全に使ってください。 前提 発端はWeb上でテキストの文字数をカウントできるサイトが閉鎖する際の話です。カウント対象のテキストデータがサイト運営 (やサイトを改竄した攻撃者) に盗み取られていないかという議論が巻き起こっていました。「盗み取られていない」側の主張は、ブラウザの開発者ツールのネットワークタブにリクエストを送信した形跡がないというものでした。ここで ブラウザの開発者ツールのネットワークタブに表示がなければ外部へデータを送信していないのか？ といった疑問が

内閣府は、「賃上げを幅広く実現するための政策アイデアコンテスト」 なるものを開催し、そこで労働法等を脱法するアイデアを優勝アイデアとして表彰しました。 この 「優勝したアイデア」 は、労働者の生命・健康等を保護するための労働基準法の労働時間規制、そして相互補助に基づく社会保険料の負担を免れることを目的とするもので大きな問題があります。 内閣府に対し、このアイデアが労働法上の誤りを含むものであることの説明、なぜこのような脱法的スキームを提案するアイデアが表彰されるに至った経過と原因の説明を求める談話を発表します。