【2019年】CTF Web問題の攻撃手法まとめ (Web問題のwriteupぜんぶ読む) - こんとろーるしーこんとろーるぶい

CTF Advent Calendar 2019 - Adventarの25日目の記事です。 1つ前は@ptr-yudai氏の2019年のpwn問を全部解くチャレンジ【後半戦】 - CTFするぞでした。 はじめに 対象イベント 問題数 読み方、使い方 Cross-Site Scripting(XSS) SVGファイルを利用したCSPバイパス GoogleドメインのJSONPを利用したCSPバイパス サブリソース完全性(SRI)機能を利用した入力チェックバイパス Chrome拡張機能のパスワードマネージャーKeePassの悪用 HTML likeコメントを使用したコメントアウト jQuery.getJSONのJSONP機能を使用したスクリプト実行 DOM Clobberingによるコードハイジャック Service Workerを利用したスクリプト実行 XSS Auditor機能のバイパス

[akahigeg]

SVGでやられちゃうのか。しょっぱなから勉強になる

[mizchi]

面白い

[t_f_m]

あとで

[efcl]

ブラウザ、JavaScript、SQLなどのウェブセキュリティ周りのCTF問題と解説

[akulog]

勉強になる

[causeless]

"@graneed111 遅ればせながら、CTF Advent Calendarの12/25の記事です。 2019年のCTFのWeb問題のwriteupを全て読んで、攻撃手法を整理しました。 当初の想定以上に大作になりまし…" via https://twitter.com/graneed111/status/1211117929875439616

[new3]

勉強になる

[takashi_kun]

年の瀬はこれかな

[healthyprog]

いつか勉強する日のために

[munioka303]

素晴らしいありがとう

[tyage]

pastetasticが個人的には今年で一番面白かったです。iframe経由だとクロスオリジンからglobal objectはやせるの知らなかった