2021-07-08から1日間の記事一覧
alpaca-attack.comドイツの大学の研究者による研究。MITM前提のSSL/TLSのクロスプロトコル攻撃。マフラー巻いてるキャラクターもいい。
少し前に公開されたものだが、PortswiggerのDaily swig経由で見つけた、MSの小勝さんが報告したChromeのCSP bypassバグについて。やられる側は例えば下記のようなページ。nonceのCSPを使っている。 <meta http-equiv="content-security-policy" content="script-src 'nonce-testrandom'"> <body> ← エスケープ無し </body> 攻撃者は以下のようにiframeを挿入し</meta>…
ierae.co.jp www.ubsecure.jp