Hackers Exploit HTTP/2 Flaw to Launch Arbitrary Cross-Site Scripting Attacks
2025/05/27 gbhackers — 清華大学と中関村研究所の画期的な研究により、現代の Web インフラに存在する深刻な脆弱性が発見された。HTTP/2 の Server Push 機能と Signed HTTP Exchange (SXG) 機能が悪用されると、Web の Same-Origin Policy (SOP) の回避にいたることが明らかになった。SOP の目的は、ある Web サイト上の悪意のスクリプトが、別の Web サイトの機密データに、不正アクセスすることを防ぐためのデザインにある。しかし、研究者たちが発見したのは、ブラウザが “生成元 (origin)” と “認証局 (authority)” を解釈する際の方法への、最近の変更が危険な抜け穴を生み出していることである。
Continue reading “HTTP/2 の Server Push と Signed HTTP Exchange:複数ドメインで共有される証明書と抜穴”
IoT OT Security News 