All Your REJECT Are Belong To Us　－リジェクトする側から－

All Your REJECT Are Belong To Us －リジェクトする側から－
(株)セキュアスカイ・テクノロジー取締役CTO 長谷川陽介セキュリティ・リジェクトコン 2018-07-08

Security Reject Conf 自己紹介長谷川陽介 (はせがわようすけ / @hasegawayosuke) (株)セキュアスカイ・テクノロジー取締役CTO
千葉大学非常勤講師 OWASP Kansai チャプターリーダー OWASP Japan ボードメンバー CODE BLUEカンファレンスレビューボードメンバー Internet Explorer、Mozilla FirefoxをはじめWebアプリケーションに関する多数の脆弱性を発見。 Black Hat Japan 2008、韓国POC 2008、2010、HITCON 2011、OWASP AppSec APAC 2014、CODE BLUE 2016他講演や記事執筆も多数。 http://utf-8.jp/

Security Reject Conf リジェクトコンの参加をリジェクトされた話えはせがわさん、参加リジェクトですよ。発表枠で適当に話してください

Security Reject Conf リジェクトコンの参加をリジェクトされた話えはせがわさん、参加リジェクトですよ。発表枠で適当に話してくださいない

Security Reject Conf 自己紹介長谷川陽介 (はせがわようすけ / @hasegawayosuke) (株)セキュアスカイ・テクノロジー取締役CTO
千葉大学非常勤講師 OWASP Kansai チャプターリーダー OWASP Japan ボードメンバー CODE BLUEカンファレンスレビューボードメンバー Internet Explorer、Mozilla FirefoxをはじめWebアプリケーションに関する多数の脆弱性を発見。 Black Hat Japan 2008、韓国POC 2008、2010、HITCON 2011、OWASP AppSec APAC 2014、CODE BLUE 2016他講演や記事執筆も多数。 http://utf-8.jp/

Security Reject Conf CODE BLUE ？レビューボード？

Security Reject Conf CODE BLUE CODE BLUE 日本発のセキュリティカンファレンス https://codeblue.jp/ 世界中のトップクラスのリサーチャーが登壇
レビューボード CODE BLUEのCFPを審査 毎年１００以上の応募 15-20本程度を選出 様々な分野の専門家8名+で構成

Security Reject Conf 受かるCFPの書き方ここからの話は個人的主観 and/or 一般論であって特定のカンファレンスの採択条件や基準というわけではありません

Security Reject Conf 1. 評価軸を考えよう

Security Reject Conf 評価軸を考えよう 採択、レビュー、評価には通常なにかしらの評価軸がある 評価ルールとして明確に定めている場合だけでなく、レビュアーそれぞれが無意識・暗黙的にもっている場合もある 評価軸にどのようなものがあるか考えてみる 例：技術力、将来性、情熱、実行力、
社交性 ※社交性とか情熱が要求されるカンファレンスはないとは思うけど。あくまでも例です。 自分の応募を自分で評価してみる 「技術しか考えてなかった」みたいな気付き

Security Reject Conf 2. 背景となる状況を書こう

Security Reject Conf 背景となる状況を書こう そのトピックの背景となる状況を簡潔に書いておく レビューする側はその分野の専門家でない場合もある (様々な分野の専門家を集めてカバーしあう場合が多い) 専門領域ではないレビュアーからの支持も得られると数で有利になる 例えば
「xxxxって手法でCSPをバイパスしてXSSできます」というトピックだとCSPが何かわからない非Webな人には刺さらない CSPがどのような位置づけで、どれくらい普及しているのかなどを簡潔に書いておくことで、そのすごさが理解してもらいやすくなる ※さすがに大きなカンファレンスのレビュアーはCSPくらいは知ってます。あくまでも例です。

Security Reject Conf 3. 自分の成果をきちんと書く

Security Reject Conf 自分の成果をきちんと書く 自分がやったことをきちんと書く 作ったもの、調べたこと、探した脆弱性、新しく見つけた手法など、自分自身の「具体的な」成果を明確にする 意外と書かれていないCFPがある(らしい) 「新しい手法について紹介します。（具体的な手法の記載なし）」出し惜しみ？
「宇宙時代のセキュリティについて考察してみた」いや君は何をやったの？宇宙にいったの？ 「SQLインジェクションの脅威について説明します」いやそれはみんな知ってるから。やったこと教えて。

Security Reject Conf 4. 新規性

Security Reject Conf 新規性 学会でおなじみのやつ 「で、その研究の新規性は？」 既存の研究、既存の手法、既存の機能などを解説する場ではない 勉強会ならそれもありだけどカンファレンスでは…。

Security Reject Conf 5. 社会的な影響を記載しよう

Security Reject Conf 社会的な影響を記載しよう 自分の成果によって社会がどのように変化するのかを明確に記述する 「このツールによって多くのアプリケーションが安全になる」 「この攻撃法によってこれまで安全とされていたアプリケーションでも注意が必要となる」 社会的影響が(いい意味でも悪い意味でも)大きいトピック
は採択されやすい

Security Reject Conf 6. ストーリー性を持たせよう

Security Reject Conf ストーリー性を持たせよう CFPにもきちんとストーリーを。 そのトピックの分野では現在どういう背景があるのか 自分の成果はその背景事情の中でどういう位置づけか 自分の成果によって社会にどういう影響があるのか ストーリー性がないものは採択されにくい 「すごい脆弱性見つけました！（めっちゃ技術的な難易度高い）」
↑前後のストーリーが欲しい 点だけでなく、点をつなぐ線を意識する

Security Reject Conf acceptされたCFPの実例

Security Reject Conf CODEBLUE 2016の長谷川の応募。ちなみに、長谷川自身はこの応募の採択には一切関わっていません。タイトル： Electron - Build cross
platform desktop XSS. It's easier than you think. Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するためのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能にしている反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日までにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報告している。本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題点を整理して理解することを目的にしている。 Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連するユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超える場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE BLUEのような場での発表には大きな意味があると考えます。

platform desktop XSS. It's easier than you think. Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するためのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能にしている反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日までにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報告している。本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題点を整理して理解することを目的にしている。 Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連するユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超える場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE BLUEのような場での発表には大きな意味があると考えます。背景となる状況背景となる状況

platform desktop XSS. It's easier than you think. Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するためのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能にしている反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日までにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報告している。本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題点を整理して理解することを目的にしている。 Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連するユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超える場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE BLUEのような場での発表には大きな意味があると考えます。自分の成果

platform desktop XSS. It's easier than you think. Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するためのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能にしている反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日までにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報告している。本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題点を整理して理解することを目的にしている。 Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連するユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超える場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE BLUEのような場での発表には大きな意味があると考えます。新規性

platform desktop XSS. It's easier than you think. Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するためのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能にしている反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日までにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報告している。本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題点を整理して理解することを目的にしている。 Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連するユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超える場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE BLUEのような場での発表には大きな意味があると考えます。社会的影響社会的影響

platform desktop XSS. It's easier than you think. Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するためのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能にしている反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日までにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報告している。本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題点を整理して理解することを目的にしている。 Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連するユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超える場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE BLUEのような場での発表には大きな意味があると考えます。ストーリー性ストーリー性

Security Reject Conf それ以外の方法もある

Security Reject Conf それ以外の方法 新規性オンリー。まだ誰も手を出していない分野など。 社会的影響オンリー。時事的な話題の深堀り、考察など。 珍しい脆弱性をとにかく集めました系 その他いろいろ とりあえず、CODE BLUE
2018のCFPは近日応募開始です。

Security Reject Conf 参考 Black Hat Sample Submission https://www.blackhat.com/docs/us-18/cfp-sample-submissions.pdf How
to get your talk accepted at Black Hat https://www.helpnetsecurity.com/2016/03/30/how-to-get-your-talk- accepted-at-black-hat/ ↑話す内容を決めて、このスライドを作り終わってから上記ページを教えてもらいました thx kanaさん

Security Reject Conf 質問? hasegawa@securesky-tech.com @hasegawayosuke http://utf-8.jp/

All Your REJECT Are Belong To Us　－リジェクトする側から－

All Your REJECT Are Belong To Us　－リジェクトする側から－

hasegawayosuke

More Decks by hasegawayosuke

Other Decks in Technology

Featured

Transcript