- network attacker
- network attacker は web attacker より協力
- malware attacker
- os の配下で操作される
- url に含まれるもの
- protocol
- hostname
- port
- path
- file や program
- query
- fragment
- page location
- resource の場所を示している
- method
- get, post
- File
- 欲しいファイル
- refer
- 参照元のページ
- サーバからのレスポンス
- status
- リクエストが同処理されたか
- cookie
- 今日のブラウザでは 様々なコンテンツが描画される
- 1つのサイトの情報も様々なサーバにリクエストすることになる
- html の構造を読み込んだり操作できる
- javascript を利用して、 list を追加する例
- html image tag を使って image を取得してくる
- query parameter を付与して悪意のあるサーバが不正なデータ操作をする
- 1 * 1 の画像を設置してユーザに見えないリソースをダウンロードさせる
- ロゴを使ったりして他のサイトへなりすます
- 読み込み失敗時にエラーを出力する
- internal ip がかかれたリクエストを画像に紛れさせて設置する
- timer を利用して、結果を 送信する。
- 実行したい javascript の関数を埋め込んでおく
- iframe で別のページのコンテンツをロードする
- 別のページのコンテンツで先に埋め込んでいたコードを任意のタイミングで呼び出す
- ユーザが意図しない関数が実行される