Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
このwasm何か変…
Search
famasoon
January 23, 2025
0
260
このwasm何か変…
famasoon
January 23, 2025
Tweet
Share
Featured
See All Featured
SEO in 2025: How to Prepare for the Future of Search
ipullrank
3
3.3k
WCS-LA-2024
lcolladotor
0
390
Ten Tips & Tricks for a 🌱 transition
stuffmc
0
34
Fireside Chat
paigeccino
41
3.8k
The Curse of the Amulet
leimatthew05
0
4.6k
Applied NLP in the Age of Generative AI
inesmontani
PRO
3
2k
Optimising Largest Contentful Paint
csswizardry
37
3.5k
Utilizing Notion as your number one productivity tool
mfonobong
2
190
More Than Pixels: Becoming A User Experience Designer
marktimemedia
2
250
Lessons Learnt from Crawling 1000+ Websites
charlesmeaden
0
950
Unlocking the hidden potential of vector embeddings in international SEO
frankvandijk
0
130
Making the Leap to Tech Lead
cromwellryan
135
9.7k
Transcript
このWASM何か変… 堺 良太 @FAMASoon
$whoami 名前: 堺 良太(サカイ リョウタ) 普段はセキュリティ企業で研究開発しています 現在、OSCPというペネトレーションテスター向けの資格取得に向けて学習中 https://x.com/FAMASoon https://github.com/famasoon https://x64.moe/
wasm is secure 設計思想はかなりセキュア寄り
wasm is secure 設計思想はかなりセキュア寄り →実装は?
変なWASM
変なwasm みなさんこのwasm読めますか?
変なwasm 読めないのでwatにする https://webassembly.github.io/wabt/demo/wasm2wat/
変なwasm そもそも無効なwasm 他のツールチェーンでも無効だと 扱ってほしい
変なwasm https://github.com/WebAssembly https://github.com/WebAssembly/binaryen 標準団体のbinaryenというツールで見てみる
変なwasm
変なwasm
変なwasm 実装に抜け漏れがあった
どうやって気がつけたか Fuzzingテスト 大量の入力をして「不正データ」「予期せぬデータ」「ランダムなデータ」を対象の製品・システムに与え意図的に例 外を発生させ、潜在的なバグ・脆弱性を検出する手法 今回はAFL++というツールを使った https://github.com/AFLplusplus/AFLplusplus
ファジング 今回はクラッシュを見つけた 場合によってはもっとセキュリティ的にまずいバグを見つけたりする
実世界のV8のWASM処理系でexploit(脆弱性を突くコード)を何個も見つける人もいる
結論 wasmはセキュア だけど人の手で実装している そのためセキュリティホールがあったりする 安易に人から渡されたwasmを実行したりするのは危ないので注意
ipullrank
lcolladotor
stuffmc
paigeccino
leimatthew05
inesmontani
csswizardry
mfonobong
marktimemedia
charlesmeaden
frankvandijk
cromwellryan
