Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
このwasm何か変…
Search
famasoon
January 23, 2025
0
250
このwasm何か変…
famasoon
January 23, 2025
Tweet
Share
Featured
See All Featured
Embracing the Ebb and Flow
colly
88
4.9k
Building Adaptive Systems
keathley
44
2.8k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
116
20k
[RailsConf 2023] Rails as a piece of cake
palkan
57
5.9k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
667
130k
The Cost Of JavaScript in 2023
addyosmani
55
9.1k
GraphQLとの向き合い方2022年版
quramy
49
14k
Building Better People: How to give real-time feedback that sticks.
wjessup
369
20k
YesSQL, Process and Tooling at Scale
rocio
173
15k
The Cult of Friendly URLs
andyhume
79
6.6k
Producing Creativity
orderedlist
PRO
347
40k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
16
1.7k
Transcript
このWASM何か変… 堺 良太 @FAMASoon
$whoami 名前: 堺 良太(サカイ リョウタ) 普段はセキュリティ企業で研究開発しています 現在、OSCPというペネトレーションテスター向けの資格取得に向けて学習中 https://x.com/FAMASoon https://github.com/famasoon https://x64.moe/
wasm is secure 設計思想はかなりセキュア寄り
wasm is secure 設計思想はかなりセキュア寄り →実装は?
変なWASM
変なwasm みなさんこのwasm読めますか?
変なwasm 読めないのでwatにする https://webassembly.github.io/wabt/demo/wasm2wat/
変なwasm そもそも無効なwasm 他のツールチェーンでも無効だと 扱ってほしい
変なwasm https://github.com/WebAssembly https://github.com/WebAssembly/binaryen 標準団体のbinaryenというツールで見てみる
変なwasm
変なwasm
変なwasm 実装に抜け漏れがあった
どうやって気がつけたか Fuzzingテスト 大量の入力をして「不正データ」「予期せぬデータ」「ランダムなデータ」を対象の製品・システムに与え意図的に例 外を発生させ、潜在的なバグ・脆弱性を検出する手法 今回はAFL++というツールを使った https://github.com/AFLplusplus/AFLplusplus
ファジング 今回はクラッシュを見つけた 場合によってはもっとセキュリティ的にまずいバグを見つけたりする
実世界のV8のWASM処理系でexploit(脆弱性を突くコード)を何個も見つける人もいる
結論 wasmはセキュア だけど人の手で実装している そのためセキュリティホールがあったりする 安易に人から渡されたwasmを実行したりするのは危ないので注意
colly
keathley
panda_program
palkan
pedronauck
addyosmani
quramy
wjessup
rocio
andyhume
orderedlist
reverentgeek
