最近Mozillaが売り出している Content Security Policy (CSP) について調べてみた。 ここにある概要がわかりやすい。細かい仕様は ここにある。CSPはXSS攻撃を防ぐためのブラウザ上の仕組み。Webページごとのポリシーを Webサーバが指示し、ブラウザはその指…

Cloud computing環境を攻撃に利用するというのも、やればできると思っていましたが、すでに事例が結構発生しているみたいですね。ITMediaの記事によると Amazon AWSのドメインによる攻撃が11月末時点で約250件 ボットネットの指令サーバがGoogleのAppEngine…

Hristo Bojinov, Elie Bursztein, and Dan Boneh, XCS: Cross Channel Scripting and its Impact on Web Applications, ACM CCS 2009.WebとWeb以外のチャネルにまたがってスクリプトインジェクト攻撃を行うものを XCS と呼び、攻撃手法の分類と、この攻撃へ…