やっていきの気持ちが大事
IS19er / seccamp 2012 卒業生のつばめです。本稿は ISer Advent Calendar 2018 と セキュリティキャンプ 修了生進捗 #seccamp OB/OG Advent Calendar 2018 の 7 日目として書かれた記事です。今年 2018 年に発表された論文 (Smith et al., 2018) をきっかけに, Browsing History Sniffing 周辺を軽く眺めてみながら, 「Web の複雑さとの付き合い方」を少し考えてみたいと思います。
There are many JS obfuscators such as JSFuck, JJencode, AAencode, etc. Some of them ignore the comment block like /* */. Here is an interesting thing: some of deobfuscators also ignore comment blocks in the obfuscated code. This means that we can make deobfuscators ignore some parts of payloads by hiding them in comment blocks and executing it in any way.
この記事を書いている 6 日ほど前に, HackerOne のブログで, A GUIDE TO SUBDOMAIN TAKEOVERS という記事が出ました。結構昔から(知る範囲では 2014 年から?) 存在している攻撃な割には, 日本語だと Subdomain Takeover に関するめぼしい記事はなさそうなので, 軽くまとめておきます。
Firefox’s bug in CSP implementation, which will be fixed in Firefox 62, provides us the way to detect the redirection of any given URL when accessed with the victim’s Firefox. Practically, OAuth is one of interesting features which requires redirections. Here is a PoC (Fingerprinting with CSP violation) which detects the following points:
WebAppSec のメーリングリスト で降ってきて気がついたんですが、2018/02/16 に CSP Level 3 の Editor’s Draft が更新されています。そこで navigate-to ディレクティブ への記述が明確になったので、少し整理してみたいと思います。
知ってはいてもこんなの絶対もう見かけないだろう、と思っていたら最近見かけることになった DOM Clobbering というものについて、備忘録としてメモ書きを残しておきます。クリティカルな攻撃は最近のブラウザでは動かないと思うんですが、実例知ってたら教えていただきたいです。
Web サーバーやその他諸諸のバージョンなど(これを Fingerprint と呼ぶことにします) が必要になる場面ってしばしばありますよね。最近必要に駆られて調べてみたんですが、文献が散逸していて悲しかったので、ポインタを貼っておこうかと思います。
Flemming Nielson 先生の Principles of Program Analysis を読みはじめることにした。
Burp で HTTP ヘッダ内のパラメータを書き換えたい時ってありますよね。XHR で X-CSRF-Token: hogehogehoge.... みたいなのが飛んでると、Burp の Session Handling Rules や Macro ではうまいこと扱えません(と、思っています。ベストプラクティスがあれば知りたい)。