http80

Web security research

2020-01-01から1年間の記事一覧

Spoofing Twitter official application / 偽のTwitter公式アプリが作成可能だった問題

dev.twitter.com(現在のdeveloper.twitter.com)とapi.twitter.com(Sign in with Twitter)において、Twitter公式アプリケーションと瓜二つの偽物が作成可能で、詐称できた問題について書き起こします。

How to detect Internet Explorer based of JavaScript syntax errors / JavaScriptの構文エラーを応用したInternet Explorerの判定方法

Webアプリケーションのフロント側の各種ブラウザへの対応は、開発の際に悩ましいものです。時には「Internet Explorerだけこの処理をさせたい!」というケースもあるでしょう。よくあるやり方は、User Agentやオブジェクト参照などで、四苦八苦しているかも…

How to forcibly block communication in ASP.NET(C#) managed module / IHttpModuleで通信を遮断するIIS(Azure)拡張モジュールを実装する

任意のルールにマッチするHTTP通信を遮断する動作を、IIS/Azureの拡張モジュール(マネージド)で実装します。お手軽に対応するのであれば、Web.configでURL Rewriteのルールを沢山書くとよいですが、マネージドモジュールで実装すると、TCPソケット接続の制御…