正直CORS、CSPの説明は自信がないです!
本日参考にさせていただいた素晴らしいwriteupたちにまず感謝を:
⚠注意
本日の内容はWebセキュリティの防御方法を学ぶための講座になっています。
今日習った内容は悪用しないようよろしくおねがいします。
今日は初めてのWeb問を解説する。
今回の問題は1つの問題でたくさん学べることがあったから動画にしてみた
CORS(Cross Origin Resource Sharing)
CSP(Content Security Policy)
javascript: 検証不備
非想定開放を含めて、とても興味深い問題だったのでぜひ勉強してみてほしい!
今までこれらの機能がよくわからなかったけどこの問題でよくわかった気がする!
みんなもぜひこの問題で一緒に学んでほしい!
よかったらマシュマロも…:
Table of Contents
——————–
00:00 自己紹介&問題解説
07:20 フラグの取得方法
09:20 CORSとは?それを使った手法の概要
09:20 CORSとは?それを使った手法の概要
14:30 有効なtokenの取得方法
15:20 コードの紹介&実演
17:20 CSPとは?Milkにおけるバイパス方法
22:10 XSSにおける注意事項&コード紹介
25:50 javascript schemeを使った手法の解説
26:45 まとめ
——————–
参考文献
hakatashiさんによるwriteup:
st98さんによるwriteup:
Content Security Plicy:
Cross Origin Resource Sharing:
Nginxのわかりやすい資料:
fastcgi_split_path_info:
SECCON: