Tag Archives: csp

利用 HSTS 資訊得知網站紀錄的 sniffly

看到「sniffly」這個工具,可以利用 HSTS 資訊檢測逛過哪些網站,程式碼在「diracdeltas/sniffly」這邊可以找到: Sniffly is an attack that abuses HTTP Strict Transport Security and Content Security Policy to allow arbitrary websites to sniff a user's browsing history. It has been tested in Firefox and Chrome. 測試網站則可以在這邊看到,作者拿 Alexa 上的資料網站來掃,所以熱門網站應該都會被放進去... 主要是利用 HSTS … Continue reading

Posted in Browser, Computer, Firefox, GoogleChrome, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , , , , , , , , , , , , | Leave a comment

CSP (Content Security Policy)

在 Twitter 上看到 Dan Kaminsky 的 retweet: Awesome deck on practical aspects of CSP from @ndm https://t.co/fKS4a6RrIr — hillbrad⚡ (@hillbrad) September 12, 2014 開頭的幾篇就列出不少 CSP 常見的情況,並且說明 CSP 應該要在軟體開發時就引入: 另外提到的 CSP Level 2 也是個很有趣的觀念,像是 nonce: 以及 hash: 不過 Level 2 目前還在 … Continue reading

Posted in Browser, Computer, Murmuring, Network, Programming, Security, Software, WWW | Tagged , , , | Leave a comment

用 Content-Security-Policy 攻擊

在「When Security Generates Insecurity」這篇文章裡,介紹了如何利用 Content-Security-Policy 攻擊網站。 首先,我想要知道是不是有登入 Facebook 或是 Google: Interest piqued by the report-uri feature, I looked into abusing it to glean information about user state, my idea was this: when a user is not logged into Google Calendar, … Continue reading

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , | Leave a comment

HTTP Header 裡與安全相關的 Header 的分析...

還是在 Zite 上看到的,對最大的一百萬個網站分析與安全有關的 HTTP Header:「Security Headers on the Top 1,000,000 Websites: November 2013 Report」。 數字大致上都有增加,不過對我來說的重點在於有列出所有與安全有關的 HTTP Header... 可以看到有這幾個: Access-Control Content-Security-Policy Strict-Transport-Security X-Content-Security-Policy X-Frame-Options X-Webkit-CSP 剛好可以拿來 review 設定...

Posted in Browser, Computer, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , , , , , , , | Leave a comment