setodaNote CTF 2021のWriteupです。 スコアは7310点で36位でした。 Forensicsで最後に1問、残ってしまった lo3rs1tkd.jpg が解けなかったのが悔しい〜 楽しい時間をありがとうございました！

dev.twitter.com（現在のdeveloper.twitter.com）とapi.twitter.com（Sign in with Twitter）において、Twitter公式アプリケーションと瓜二つの偽物が作成可能で、詐称できた問題について書き起こします。

Webアプリケーションのフロント側の各種ブラウザへの対応は、開発の際に悩ましいものです。時には「Internet Explorerだけこの処理をさせたい！」というケースもあるでしょう。よくあるやり方は、User Agentやオブジェクト参照などで、四苦八苦しているかも…

任意のルールにマッチするHTTP通信を遮断する動作を、IIS/Azureの拡張モジュール(マネージド)で実装します。お手軽に対応するのであれば、Web.configでURL Rewriteのルールを沢山書くとよいですが、マネージドモジュールで実装すると、TCPソケット接続の制御…

約4.5年前にSafariのアドレスバー起因で発見した複数の脆弱性を振り返ってみます。タッチの差で修正されていたので、どなたかが先に報告されため、答え合わせのCVE番号の特定はしていないです。

モダンな環境では、meta refreshなどのリダイレクト（ページリロード）において、javascriptスキームのトップレベルのナビゲートは禁止されています。しかしながら、ある特定のウェブブラウザはそのまま実行されてしまいます。

Webブラウザの脆弱性を探していたところ、変わった切り口のXSS攻撃手法を思いつきました。

I discovered and reported an address bar spoofing vulnerability in Apple Safari (included with macOS). As a result of discussions to fix this vulnerability, we have successfully released a security patch, which we report here.

PASSWORD_BCRYPTアルゴリズムの72文字制限は過去に言及されていますが、掘り下げて調べてみると、どうやら真実は少し違うようでした。厳密には、72文字で切り詰められるのは間違いないですが、その仕様に誤解がありました。

モダンなブラウザにおいて、CSSインジェクションはXSSの脅威が内在しているのか、という興味・探究心から考察した。なお、現状は組み合わせ技の程度で、途中経過を取りまとめた記事である。