![「ゼロ秒思考」を1年続けてみた話|伊藤 翼(いとう つばさ)🐙サイトマップの人](https://cdn-ak-scissors.b.st-hatena.com/image/square/e5b7d42fda4f3adf91f2628d5b3ad66ffac15fd1/height=288;version=1;width=512/https%3A%2F%2Fassets.st-note.com%2Fproduction%2Fuploads%2Fimages%2F144350749%2Frectangle_large_type_2_b6dfa1395e496bbdd20e8ecd43d6cdc4.jpeg%3Ffit%3Dbounds%26quality%3D85%26width%3D1280)
はじめに はじめまして、セキュリティエンジニアのSatoki (@satoki00) です。今回はブラウザの開発者ツールのネットワークタブから隠れて、Webサイト内の情報を送信する手法をまとめます。所謂Exfiltrationというやつです。中にはCSPの制限をBypassするために用いられるテクニックもあります。CTFなどで安全に使ってください。 前提 発端はWeb上でテキストの文字数をカウントできるサイトが閉鎖する際の話です。カウント対象のテキストデータがサイト運営 (やサイトを改竄した攻撃者) に盗み取られていないかという議論が巻き起こっていました。「盗み取られていない」側の主張は、ブラウザの開発者ツールのネットワークタブにリクエストを送信した形跡がないというものでした。ここで ブラウザの開発者ツールのネットワークタブに表示がなければ外部へデータを送信していないのか? といった疑問が
個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策 SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポイントがないか合わせて確認 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように Domain属性が適切に設定されていること サブドメインにもCookieが送られる設定の場合、他のサブドメインのサイトに脆弱性があるとそこからインシデントに繋がるリスクを理解してお
フィーチャー開発から ホールプロダクト開発へ ~ 顧客価値へ向き合い続ける挑戦 ~ @itohiro73 #開発生産性con_findy
中村 颯希|漫画ふつつか⑦6/28発売 @satsuki_nkmr 昨年のたぶん夏くらいに、「余り野菜はじゃっと焼いて、麺つゆとお酢を1:1で混ぜた液(水少々で濃さを調節)に放り込むといい」と呟いてくださった方… あなたは今日もまた、献立に悩む主婦を一人救いました。 外気温が25℃を超えるたびに謝意を表し続けます。 ありがとうTwitter… pic.twitter.com/ouxd648u53 2022-04-23 14:17:11 中村 颯希|漫画ふつつか⑦6/28発売 @satsuki_nkmr リプで教えていただいたのですが、私が昨年拝見したのはこちらのツイートでした!! 暑い夏、そして今に至るまでめちゃくちゃ救われております。元ツイの方&リプの方ありがとうございます😭🙏✨ 個人的には麺つゆ:お酢を2:1くらいまで下げ、水少々を加えつつ、鶏モモや豚コマを入れるのが好きです! x
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く