Organizations

  • Spring framework, which is a popular web application framework for Java, supports “matrix variables”. With matrix variables, we can set the values of parameters in the path segment. // GET /owners/42;q=11/pets/21;q=22 @GetMapping("/owners/{ownerId}/pets/{petId}") public void findPet( @MatrixVariable(name="q", pathVar="ownerId") int q1, @MatrixVariable(name="q", pathVar="petId") int q2) { // q1 == 11 // q2 == 22 } source Some of you may have seen the URIs that contain session ID such as http://example.
    Updated June 19, 2020
  • ブログをHugo + GitHub Pagesで運用することにしました。 10年以上WordPressでブログを運用していたのだけど、わざわざ専用のサーバを用意したりWordPressの更新を時々見たりするメリットもあまりないなと。

    Updated May 5, 2020
  • なに

    CSP Embedded Enforcementを使って、JavaScriptで書かれたXSS mitigationをbypassできるパターンがあるという話。
    以下のような条件が必要なので現実に使える場面は普通はなさそう。
    CTFでは便利かもしれない。

    • Webページで同一オリジンのページをiframeで読み込める
    • WebページのヘッダにCSPが設定されていない
    • Webページに指定したHTMLを埋め込める(XSSができる)
    • ただし、WebページにJavaScriptによるXSS防御機構がある

    このとき、CSP Embedded Enforcementを使うことで、防御機構を回避して攻撃コードだけを実行することができる。

    Updated June 26, 2018
Next