Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
このwasm何か変…
Search
famasoon
January 23, 2025
0
220
このwasm何か変…
famasoon
January 23, 2025
Tweet
Share
Featured
See All Featured
GraphQLとの向き合い方2022年版
quramy
49
14k
Unsuck your backbone
ammeep
671
58k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
161
15k
The World Runs on Bad Software
bkeepers
PRO
69
11k
Reflections from 52 weeks, 52 projects
jeffersonlam
351
20k
Being A Developer After 40
akosma
90
590k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
15
1.5k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
17
950
StorybookのUI Testing Handbookを読んだ
zakiyama
30
5.8k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
8
800
Designing for Performance
lara
609
69k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
331
22k
Transcript
このWASM何か変… 堺 良太 @FAMASoon
$whoami 名前: 堺 良太(サカイ リョウタ) 普段はセキュリティ企業で研究開発しています 現在、OSCPというペネトレーションテスター向けの資格取得に向けて学習中 https://x.com/FAMASoon https://github.com/famasoon https://x64.moe/
wasm is secure 設計思想はかなりセキュア寄り
wasm is secure 設計思想はかなりセキュア寄り →実装は?
変なWASM
変なwasm みなさんこのwasm読めますか?
変なwasm 読めないのでwatにする https://webassembly.github.io/wabt/demo/wasm2wat/
変なwasm そもそも無効なwasm 他のツールチェーンでも無効だと 扱ってほしい
変なwasm https://github.com/WebAssembly https://github.com/WebAssembly/binaryen 標準団体のbinaryenというツールで見てみる
変なwasm
変なwasm
変なwasm 実装に抜け漏れがあった
どうやって気がつけたか Fuzzingテスト 大量の入力をして「不正データ」「予期せぬデータ」「ランダムなデータ」を対象の製品・システムに与え意図的に例 外を発生させ、潜在的なバグ・脆弱性を検出する手法 今回はAFL++というツールを使った https://github.com/AFLplusplus/AFLplusplus
ファジング 今回はクラッシュを見つけた 場合によってはもっとセキュリティ的にまずいバグを見つけたりする
実世界のV8のWASM処理系でexploit(脆弱性を突くコード)を何個も見つける人もいる
結論 wasmはセキュア だけど人の手で実装している そのためセキュリティホールがあったりする 安易に人から渡されたwasmを実行したりするのは危ないので注意
quramy
ammeep
sstephenson
bkeepers
jeffersonlam
akosma
reverentgeek
sergeychernyshev
zakiyama
irinanazarova
lara
caitiem20
