WebAppSec のメーリングリスト で降ってきて気がついたんですが、2018/02/16 に CSP Level 3 の Editor’s Draft が更新されています。そこで navigate-to ディレクティブ への記述が明確になったので、少し整理してみたいと思います。

知ってはいてもこんなの絶対もう見かけないだろう、と思っていたら最近見かけることになった DOM Clobbering というものについて、備忘録としてメモ書きを残しておきます。クリティカルな攻撃は最近のブラウザでは動かないと思うんですが、実例知ってたら教えていただきたいです。

Web サーバーやその他諸諸のバージョンなど(これを Fingerprint と呼ぶことにします) が必要になる場面ってしばしばありますよね。最近必要に駆られて調べてみたんですが、文献が散逸していて悲しかったので、ポインタを貼っておこうかと思います。

Burp にはこういうバグがある。‘SSL Pass Through’ traffic is incorrectly forwarded through an upstream proxy

Flemming Nielson 先生の Principles of Program Analysis を読みはじめることにした。

Burp で HTTP ヘッダ内のパラメータを書き換えたい時ってありますよね。XHR で X-CSRF-Token: hogehogehoge.... みたいなのが飛んでると、Burp の Session Handling Rules や Macro ではうまいこと扱えません(と、思っています。ベストプラクティスがあれば知りたい)。

何かアウトプットする手段がプライベートなものに限られていたので、publicにしていく気持ちになった。