Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
このwasm何か変…
Search
famasoon
January 23, 2025
270
0
Share
このwasm何か変…
famasoon
January 23, 2025
Featured
See All Featured
How to train your dragon (web standard)
notwaldorf
97
6.6k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
10
1.1k
Data-driven link building: lessons from a $708K investment (BrightonSEO talk)
szymonslowik
1
1k
Build your cross-platform service in a week with App Engine
jlugia
234
18k
New Earth Scene 8
popppiees
3
2k
Code Review Best Practice
trishagee
74
20k
Paper Plane
katiecoart
PRO
1
49k
Embracing the Ebb and Flow
colly
88
5k
Building the Perfect Custom Keyboard
takai
2
730
The Invisible Side of Design
smashingmag
302
51k
Highjacked: Video Game Concept Design
rkendrick25
PRO
1
340
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.7k
Transcript
このWASM何か変… 堺 良太 @FAMASoon
$whoami 名前: 堺 良太(サカイ リョウタ) 普段はセキュリティ企業で研究開発しています 現在、OSCPというペネトレーションテスター向けの資格取得に向けて学習中 https://x.com/FAMASoon https://github.com/famasoon https://x64.moe/
wasm is secure 設計思想はかなりセキュア寄り
wasm is secure 設計思想はかなりセキュア寄り →実装は?
変なWASM
変なwasm みなさんこのwasm読めますか?
変なwasm 読めないのでwatにする https://webassembly.github.io/wabt/demo/wasm2wat/
変なwasm そもそも無効なwasm 他のツールチェーンでも無効だと 扱ってほしい
変なwasm https://github.com/WebAssembly https://github.com/WebAssembly/binaryen 標準団体のbinaryenというツールで見てみる
変なwasm
変なwasm
変なwasm 実装に抜け漏れがあった
どうやって気がつけたか Fuzzingテスト 大量の入力をして「不正データ」「予期せぬデータ」「ランダムなデータ」を対象の製品・システムに与え意図的に例 外を発生させ、潜在的なバグ・脆弱性を検出する手法 今回はAFL++というツールを使った https://github.com/AFLplusplus/AFLplusplus
ファジング 今回はクラッシュを見つけた 場合によってはもっとセキュリティ的にまずいバグを見つけたりする
実世界のV8のWASM処理系でexploit(脆弱性を突くコード)を何個も見つける人もいる
結論 wasmはセキュア だけど人の手で実装している そのためセキュリティホールがあったりする 安易に人から渡されたwasmを実行したりするのは危ないので注意
notwaldorf
addyosmani
szymonslowik
jlugia
popppiees
trishagee
katiecoart
colly
takai
smashingmag
rkendrick25
marktimemedia
