Upgrade to Pro — share decks privately, control downloads, hide ads and more …

All Your REJECT Are Belong To Us - リジェクトする側から -

hasegawayosuke
June 20, 2018
Technology
4
2.3k

All Your REJECT Are Belong To Us - リジェクトする側から -

hasegawayosuke

June 20, 2018
Tweet

More Decks by hasegawayosuke

See All by hasegawayosuke
これからのフロントエンドセキュリティ
hasegawayosuke
36
13k
SSRF基礎
hasegawayosuke
24
12k
Node.jsセキュリティ
hasegawayosuke
14
4.8k
脆弱性診断を通じて見えてくるWebセキュリティ
hasegawayosuke
12
4.3k
プロキシーツールとかを使うときの小技
hasegawayosuke
11
2.8k
あなたのWebアプリケーション OWASP TOP 10に対応できていますか?
hasegawayosuke
0
220
WebアプリをOWASP TOP 10に対応させよう / #shibuyaxss techtalk #10
hasegawayosuke
8
2.4k

Other Decks in Technology

See All in Technology
WebGLやCanvasを使ったデータ可視化コンテンツ開発/nikkei-tech-talk5-3
nikkei_engineer_recruiting
0
150
CDK使用歴1年の僕が現場でCDK導入するときに得たTips
miura55
0
400
安全にプロセスを停止するためにシグナル制御を学ぼう!
yamamotohiroya
0
260
Exciting WebPageTest Scripting - WebPerf Meetup Hamburg, 20230323
tbaldauf
0
370
シゴトをジモトに運び込め〜大企業でCCoEやってた私が地元に事業所を作るまで〜
mamohacy
2
130
作って理解するバックドア
ad5jp
0
470
IBM Cloud PLUS - #3 IBM PowerVS 入門と最新情報
6onoda
0
110
Managing Test Data
eliasnogueira
0
170
サービスと共にチームも成長する 〜New Relicを利用したサービスとチームの定量化〜
hirokiotsuka
0
150
Agileを始める前に知っておきたい3つの真実
chiroruxx
8
1.2k
Federated Learning 連合学習
regonn
2
720
Autonomous Database Cloud 技術詳細 / adb-s_technical_detail_jp
oracle4engineer
PRO
10
25k

Featured

See All Featured
What's new in Ruby 2.0
geeforr
336
30k
Music & Morning Musume
bryan
37
4.7k
Become a Pro
speakerdeck
PRO
6
3.3k
The MySQL Ecosystem @ GitHub 2015
samlambert
240
11k
Side Projects
sachag
451
38k
Gamification - CAS2011
davidbonilla
75
4.2k
GitHub's CSS Performance
jonrohan
1021
430k
Visualization
eitanlees
129
12k
How To Stay Up To Date on Web Technology
chriscoyier
779
250k
Embracing the Ebb and Flow
colly
76
3.6k
The Mythical Team-Month
searls
210
40k
How to train your dragon (web standard)
notwaldorf
66
4.4k

Transcript

  1. All Your REJECT Are
    Belong To Us
    - リジェクトする側から -
    (株)セキュアスカイ・テクノロジー
    取締役CTO 長谷川陽介
    セキュリティ・リジェクトコン
    2018-07-08

    View Slide

  2. Security Reject Conf
    自己紹介
    長谷川陽介 (はせがわようすけ / @hasegawayosuke)
    (株)セキュアスカイ・テクノロジー 取締役CTO
    千葉大学 非常勤講師
    OWASP Kansai チャプターリーダー
    OWASP Japan ボードメンバー
    CODE BLUEカンファレンス レビューボードメンバー
    Internet Explorer、Mozilla FirefoxをはじめWebアプリ
    ケーションに関する多数の脆弱性を発見。
    Black Hat Japan 2008、韓国POC 2008、2010、HITCON
    2011、OWASP AppSec APAC 2014、CODE BLUE 2016他
    講演や記事執筆も多数。
    http://utf-8.jp/

    View Slide

  3. Security Reject Conf
    リジェクトコンの参加をリジェクトされた話

    はせがわさん、参加
    リジェクトですよ。
    発表枠で適当に
    話してください

    View Slide

  4. Security Reject Conf
    リジェクトコンの参加をリジェクトされた話

    はせがわさん、参加
    リジェクトですよ。
    発表枠で適当に
    話してください
    ない

    View Slide

  5. Security Reject Conf
    自己紹介
    長谷川陽介 (はせがわようすけ / @hasegawayosuke)
    (株)セキュアスカイ・テクノロジー 取締役CTO
    千葉大学 非常勤講師
    OWASP Kansai チャプターリーダー
    OWASP Japan ボードメンバー
    CODE BLUEカンファレンス レビューボードメンバー
    Internet Explorer、Mozilla FirefoxをはじめWebアプリ
    ケーションに関する多数の脆弱性を発見。
    Black Hat Japan 2008、韓国POC 2008、2010、HITCON
    2011、OWASP AppSec APAC 2014、CODE BLUE 2016他
    講演や記事執筆も多数。
    http://utf-8.jp/

    View Slide

  6. Security Reject Conf
    自己紹介
    長谷川陽介 (はせがわようすけ / @hasegawayosuke)
    (株)セキュアスカイ・テクノロジー 取締役CTO
    千葉大学 非常勤講師
    OWASP Kansai チャプターリーダー
    OWASP Japan ボードメンバー
    CODE BLUEカンファレンス レビューボードメンバー
    Internet Explorer、Mozilla FirefoxをはじめWebアプリ
    ケーションに関する多数の脆弱性を発見。
    Black Hat Japan 2008、韓国POC 2008、2010、HITCON
    2011、OWASP AppSec APAC 2014、CODE BLUE 2016他
    講演や記事執筆も多数。
    http://utf-8.jp/

    View Slide

  7. Security Reject Conf
    CODE BLUE ?
    レビューボード ?

    View Slide

  8. Security Reject Conf
    CODE BLUE
    CODE BLUE
    日本発のセキュリティカンファレンス
    https://codeblue.jp/
    世界中のトップクラスのリサーチャーが登壇
    レビューボード
    CODE BLUEのCFPを審査
    毎年100以上の応募
    15-20本程度を選出
    様々な分野の専門家8名+で構成

    View Slide

  9. Security Reject Conf
    受かるCFPの書き方
    ここからの話は個人的主観 and/or 一般論であって
    特定のカンファレンスの採択条件や基準というわけではありません

    View Slide

  10. Security Reject Conf
    1. 評価軸を考えよう

    View Slide

  11. Security Reject Conf
    評価軸を考えよう
    採択、レビュー、評価には通常なにかしらの評価軸がある
    評価ルールとして明確に定めている場合だけでなく、レビュアー
    それぞれが無意識・暗黙的にもっている場合もある
    評価軸にどのようなものがあるか
    考えてみる
    例:技術力、将来性、情熱、実行力、
    社交性
    ※社交性とか情熱が要求されるカンファレンスはないとは
    思うけど。あくまでも例です。
    自分の応募を自分で評価してみる
    「技術しか考えてなかった」みたいな気付き

    View Slide

  12. Security Reject Conf
    2. 背景となる状況を書こう

    View Slide

  13. Security Reject Conf
    背景となる状況を書こう
    そのトピックの背景となる状況を簡潔に書いておく
    レビューする側はその分野の専門家でない場合もある
    (様々な分野の専門家を集めてカバーしあう場合が多い)
    専門領域ではないレビュアーからの支持も得られると数で有利に
    なる
    例えば
    「xxxxって手法でCSPをバイパスしてXSSできます」というトピック
    だとCSPが何かわからない非Webな人には刺さらない
    CSPがどのような位置づけで、どれくらい普及しているのかなどを
    簡潔に書いておくことで、そのすごさが理解してもらいやすくなる
    ※さすがに大きなカンファレンスのレビュアーはCSPくらいは知ってます。あくまでも例です。

    View Slide

  14. Security Reject Conf
    3. 自分の成果をきちんと書く

    View Slide

  15. Security Reject Conf
    自分の成果をきちんと書く
    自分がやったことをきちんと書く
    作ったもの、調べたこと、探した脆弱性、新しく見つけた手法など、
    自分自身の「具体的な」成果を明確にする
    意外と書かれていないCFPがある(らしい)
    「新しい手法について紹介します。(具体的な手法の記載なし)」
    出し惜しみ?
    「宇宙時代のセキュリティについて考察してみた」
    いや君は何をやったの?宇宙にいったの?
    「SQLインジェクションの脅威について説明します」
    いやそれはみんな知ってるから。やったこと教えて。

    View Slide

  16. Security Reject Conf
    4. 新規性

    View Slide

  17. Security Reject Conf
    新規性
    学会でおなじみのやつ
    「で、その研究の新規性は?」
    既存の研究、既存の手法、既存の機能などを解説する場で
    はない
    勉強会ならそれもありだけどカンファレンスでは…。

    View Slide

  18. Security Reject Conf
    5. 社会的な影響を記載しよう

    View Slide

  19. Security Reject Conf
    社会的な影響を記載しよう
    自分の成果によって社会がどのように変化するのかを明確
    に記述する
    「このツールによって多くのアプリケーションが安全になる」
    「この攻撃法によってこれまで安全とされていたアプリケーション
    でも注意が必要となる」
    社会的影響が(いい意味でも悪い意味でも)大きいトピック
    は採択されやすい

    View Slide

  20. Security Reject Conf
    6. ストーリー性を持たせよう

    View Slide

  21. Security Reject Conf
    ストーリー性を持たせよう
    CFPにもきちんとストーリーを。
    そのトピックの分野では現在どういう背景があるのか
    自分の成果はその背景事情の中でどういう位置づけか
    自分の成果によって社会にどういう影響があるのか
    ストーリー性がないものは採択されにくい
    「すごい脆弱性見つけました!(めっちゃ技術的な難易度高い)」
    ↑前後のストーリーが欲しい
    点だけでなく、点をつなぐ線を意識する

    View Slide

  22. Security Reject Conf
    acceptされたCFPの実例

    View Slide

  23. Security Reject Conf
    CODEBLUE 2016の長谷川の応募。ちなみに、長谷川自身はこの応募の採択には一切関わっていません。
    タイトル: Electron - Build cross platform desktop XSS. It's easier than you think.
    Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するた
    めのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリ
    ケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで
    Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能に
    している反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任
    意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日ま
    でにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報
    告している。
    本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題
    点を整理して理解することを目的にしている。
    Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連す
    るユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内
    ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超え
    る場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE
    BLUEのような場での発表には大きな意味があると考えます。

    View Slide

  24. Security Reject Conf
    CODEBLUE 2016の長谷川の応募。ちなみに、長谷川自身はこの応募の採択には一切関わっていません。
    タイトル: Electron - Build cross platform desktop XSS. It's easier than you think.
    Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するた
    めのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリ
    ケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで
    Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能に
    している反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任
    意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日ま
    でにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報
    告している。
    本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題
    点を整理して理解することを目的にしている。
    Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連す
    るユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内
    ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超え
    る場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE
    BLUEのような場での発表には大きな意味があると考えます。
    背景となる状況
    背景となる状況

    View Slide

  25. Security Reject Conf
    CODEBLUE 2016の長谷川の応募。ちなみに、長谷川自身はこの応募の採択には一切関わっていません。
    タイトル: Electron - Build cross platform desktop XSS. It's easier than you think.
    Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するた
    めのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリ
    ケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで
    Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能に
    している反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任
    意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日ま
    でにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報
    告している。
    本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題
    点を整理して理解することを目的にしている。
    Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連す
    るユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内
    ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超え
    る場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE
    BLUEのような場での発表には大きな意味があると考えます。
    自分の成果

    View Slide

  26. Security Reject Conf
    CODEBLUE 2016の長谷川の応募。ちなみに、長谷川自身はこの応募の採択には一切関わっていません。
    タイトル: Electron - Build cross platform desktop XSS. It's easier than you think.
    Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するた
    めのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリ
    ケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで
    Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能に
    している反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任
    意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日ま
    でにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報
    告している。
    本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題
    点を整理して理解することを目的にしている。
    Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連す
    るユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内
    ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超え
    る場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE
    BLUEのような場での発表には大きな意味があると考えます。
    新規性

    View Slide

  27. Security Reject Conf
    CODEBLUE 2016の長谷川の応募。ちなみに、長谷川自身はこの応募の採択には一切関わっていません。
    タイトル: Electron - Build cross platform desktop XSS. It's easier than you think.
    Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するた
    めのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリ
    ケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで
    Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能に
    している反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任
    意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日ま
    でにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報
    告している。
    本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題
    点を整理して理解することを目的にしている。
    Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連す
    るユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内
    ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超え
    る場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE
    BLUEのような場での発表には大きな意味があると考えます。
    社会的影響
    社会的影響

    View Slide

  28. Security Reject Conf
    CODEBLUE 2016の長谷川の応募。ちなみに、長谷川自身はこの応募の採択には一切関わっていません。
    タイトル: Electron - Build cross platform desktop XSS. It's easier than you think.
    Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するた
    めのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリ
    ケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで
    Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能に
    している反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任
    意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日ま
    でにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報
    告している。
    本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題
    点を整理して理解することを目的にしている。
    Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連す
    るユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内
    ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超え
    る場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE
    BLUEのような場での発表には大きな意味があると考えます。
    ストーリー性
    ストーリー性

    View Slide

  29. Security Reject Conf
    それ以外の方法もある

    View Slide

  30. Security Reject Conf
    それ以外の方法
    新規性オンリー。まだ誰も手を出していない分野など。
    社会的影響オンリー。時事的な話題の深堀り、考察など。
    珍しい脆弱性をとにかく集めました系
    その他いろいろ
    とりあえず、CODE BLUE 2018のCFPは近日応募開始です。

    View Slide

  31. Security Reject Conf
    参考
    Black Hat Sample Submission
    https://www.blackhat.com/docs/us-18/cfp-sample-submissions.pdf
    How to get your talk accepted at Black Hat
    https://www.helpnetsecurity.com/2016/03/30/how-to-get-your-talk-
    accepted-at-black-hat/
    ↑話す内容を決めて、このスライドを作り終わってから
    上記ページを教えてもらいました thx kanaさん

    View Slide

  32. Security Reject Conf
    質問?
    [email protected]
    @hasegawayosuke
    http://utf-8.jp/

    View Slide