Masato Kinugawa Security Blog: UTF-16によるContent Security Policyの迂回
UTF-16をContent Security Policy(以下CSP)の迂回に使ってみようという記事です。ほとんどの場合で問題になりませんが場合によってはこうもできるかもしれないよね、ということを示すために書きます。真面目に読まないでください。 シンプルな迂回方法 やろうとしていることを理解しやすくするために、先にシンプルな迂回方法を示します。 CSPで選択的に外部ドメインのJavaScriptの読み込みを許可しているような場合、読み込みを許可したドメインにscriptタグのsrcとしてエラーのないように悪意のあるスクリプトを書けてしまう箇所があれば、当然XSSがあった時にCSPを迂回して攻撃することができてしまいます。 僕が攻撃しようと思ったら真っ先に狙いに行くのはJSONPのcallback関数名です。具体的に例を示すと、 CSPを導入したサイトで、外部サイトのcsp.exampl
自分用:ひろみちゅ先生×武雄市長
Shuji Sado (佐渡 秀治) @shujisado 高木無双が起きるのは、IT専門媒体に力がないからだよね。どこも記者と外注をどんどん減らして、ニュースよりも金が取れるリードジェネレーション型へ向かっている。単価が安く、PVも稼げる翻訳記事で媒体が埋まるのはそういうことだが、広告ニーズがその流れだから業界としては止めようがない。 ゆんゆん探偵 @yunyundetective 「公の施設は民間で出来ない事をやるからこそ存在意義があるのだ」っていうね。 RT @tsuneduka: 同感 抄RT @ken500d: TSUTAYAは今、皆が借りたい物を置くのが使命だけど、図書館は未来に誰かが探しに来る物を置くのが使命なんだよ。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
