Upgrade to Pro — share decks privately, control downloads, hide ads and more …

All Your REJECT Are Belong To Us - リジェクトする側から -

All Your REJECT Are Belong To Us - リジェクトする側から -

hasegawayosuke

June 20, 2018
Tweet

More Decks by hasegawayosuke

Other Decks in Technology

Transcript

  1. All Your REJECT Are
    Belong To Us
    - リジェクトする側から -
    (株)セキュアスカイ・テクノロジー
    取締役CTO 長谷川陽介
    セキュリティ・リジェクトコン
    2018-07-08

    View full-size slide

  2. Security Reject Conf
    自己紹介
    長谷川陽介 (はせがわようすけ / @hasegawayosuke)
    (株)セキュアスカイ・テクノロジー 取締役CTO
    千葉大学 非常勤講師
    OWASP Kansai チャプターリーダー
    OWASP Japan ボードメンバー
    CODE BLUEカンファレンス レビューボードメンバー
    Internet Explorer、Mozilla FirefoxをはじめWebアプリ
    ケーションに関する多数の脆弱性を発見。
    Black Hat Japan 2008、韓国POC 2008、2010、HITCON
    2011、OWASP AppSec APAC 2014、CODE BLUE 2016他
    講演や記事執筆も多数。
    http://utf-8.jp/

    View full-size slide

  3. Security Reject Conf
    リジェクトコンの参加をリジェクトされた話

    はせがわさん、参加
    リジェクトですよ。
    発表枠で適当に
    話してください

    View full-size slide

  4. Security Reject Conf
    リジェクトコンの参加をリジェクトされた話

    はせがわさん、参加
    リジェクトですよ。
    発表枠で適当に
    話してください
    ない

    View full-size slide

  5. Security Reject Conf
    自己紹介
    長谷川陽介 (はせがわようすけ / @hasegawayosuke)
    (株)セキュアスカイ・テクノロジー 取締役CTO
    千葉大学 非常勤講師
    OWASP Kansai チャプターリーダー
    OWASP Japan ボードメンバー
    CODE BLUEカンファレンス レビューボードメンバー
    Internet Explorer、Mozilla FirefoxをはじめWebアプリ
    ケーションに関する多数の脆弱性を発見。
    Black Hat Japan 2008、韓国POC 2008、2010、HITCON
    2011、OWASP AppSec APAC 2014、CODE BLUE 2016他
    講演や記事執筆も多数。
    http://utf-8.jp/

    View full-size slide

  6. Security Reject Conf
    自己紹介
    長谷川陽介 (はせがわようすけ / @hasegawayosuke)
    (株)セキュアスカイ・テクノロジー 取締役CTO
    千葉大学 非常勤講師
    OWASP Kansai チャプターリーダー
    OWASP Japan ボードメンバー
    CODE BLUEカンファレンス レビューボードメンバー
    Internet Explorer、Mozilla FirefoxをはじめWebアプリ
    ケーションに関する多数の脆弱性を発見。
    Black Hat Japan 2008、韓国POC 2008、2010、HITCON
    2011、OWASP AppSec APAC 2014、CODE BLUE 2016他
    講演や記事執筆も多数。
    http://utf-8.jp/

    View full-size slide

  7. Security Reject Conf
    CODE BLUE ?
    レビューボード ?

    View full-size slide

  8. Security Reject Conf
    CODE BLUE
    CODE BLUE
    日本発のセキュリティカンファレンス
    https://codeblue.jp/
    世界中のトップクラスのリサーチャーが登壇
    レビューボード
    CODE BLUEのCFPを審査
    毎年100以上の応募
    15-20本程度を選出
    様々な分野の専門家8名+で構成

    View full-size slide

  9. Security Reject Conf
    受かるCFPの書き方
    ここからの話は個人的主観 and/or 一般論であって
    特定のカンファレンスの採択条件や基準というわけではありません

    View full-size slide

  10. Security Reject Conf
    1. 評価軸を考えよう

    View full-size slide

  11. Security Reject Conf
    評価軸を考えよう
    採択、レビュー、評価には通常なにかしらの評価軸がある
    評価ルールとして明確に定めている場合だけでなく、レビュアー
    それぞれが無意識・暗黙的にもっている場合もある
    評価軸にどのようなものがあるか
    考えてみる
    例:技術力、将来性、情熱、実行力、
    社交性
    ※社交性とか情熱が要求されるカンファレンスはないとは
    思うけど。あくまでも例です。
    自分の応募を自分で評価してみる
    「技術しか考えてなかった」みたいな気付き

    View full-size slide

  12. Security Reject Conf
    2. 背景となる状況を書こう

    View full-size slide

  13. Security Reject Conf
    背景となる状況を書こう
    そのトピックの背景となる状況を簡潔に書いておく
    レビューする側はその分野の専門家でない場合もある
    (様々な分野の専門家を集めてカバーしあう場合が多い)
    専門領域ではないレビュアーからの支持も得られると数で有利に
    なる
    例えば
    「xxxxって手法でCSPをバイパスしてXSSできます」というトピック
    だとCSPが何かわからない非Webな人には刺さらない
    CSPがどのような位置づけで、どれくらい普及しているのかなどを
    簡潔に書いておくことで、そのすごさが理解してもらいやすくなる
    ※さすがに大きなカンファレンスのレビュアーはCSPくらいは知ってます。あくまでも例です。

    View full-size slide

  14. Security Reject Conf
    3. 自分の成果をきちんと書く

    View full-size slide

  15. Security Reject Conf
    自分の成果をきちんと書く
    自分がやったことをきちんと書く
    作ったもの、調べたこと、探した脆弱性、新しく見つけた手法など、
    自分自身の「具体的な」成果を明確にする
    意外と書かれていないCFPがある(らしい)
    「新しい手法について紹介します。(具体的な手法の記載なし)」
    出し惜しみ?
    「宇宙時代のセキュリティについて考察してみた」
    いや君は何をやったの?宇宙にいったの?
    「SQLインジェクションの脅威について説明します」
    いやそれはみんな知ってるから。やったこと教えて。

    View full-size slide

  16. Security Reject Conf
    4. 新規性

    View full-size slide

  17. Security Reject Conf
    新規性
    学会でおなじみのやつ
    「で、その研究の新規性は?」
    既存の研究、既存の手法、既存の機能などを解説する場で
    はない
    勉強会ならそれもありだけどカンファレンスでは…。

    View full-size slide

  18. Security Reject Conf
    5. 社会的な影響を記載しよう

    View full-size slide

  19. Security Reject Conf
    社会的な影響を記載しよう
    自分の成果によって社会がどのように変化するのかを明確
    に記述する
    「このツールによって多くのアプリケーションが安全になる」
    「この攻撃法によってこれまで安全とされていたアプリケーション
    でも注意が必要となる」
    社会的影響が(いい意味でも悪い意味でも)大きいトピック
    は採択されやすい

    View full-size slide

  20. Security Reject Conf
    6. ストーリー性を持たせよう

    View full-size slide

  21. Security Reject Conf
    ストーリー性を持たせよう
    CFPにもきちんとストーリーを。
    そのトピックの分野では現在どういう背景があるのか
    自分の成果はその背景事情の中でどういう位置づけか
    自分の成果によって社会にどういう影響があるのか
    ストーリー性がないものは採択されにくい
    「すごい脆弱性見つけました!(めっちゃ技術的な難易度高い)」
    ↑前後のストーリーが欲しい
    点だけでなく、点をつなぐ線を意識する

    View full-size slide

  22. Security Reject Conf
    acceptされたCFPの実例

    View full-size slide

  23. Security Reject Conf
    CODEBLUE 2016の長谷川の応募。ちなみに、長谷川自身はこの応募の採択には一切関わっていません。
    タイトル: Electron - Build cross platform desktop XSS. It's easier than you think.
    Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するた
    めのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリ
    ケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで
    Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能に
    している反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任
    意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日ま
    でにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報
    告している。
    本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題
    点を整理して理解することを目的にしている。
    Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連す
    るユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内
    ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超え
    る場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE
    BLUEのような場での発表には大きな意味があると考えます。

    View full-size slide

  24. Security Reject Conf
    CODEBLUE 2016の長谷川の応募。ちなみに、長谷川自身はこの応募の採択には一切関わっていません。
    タイトル: Electron - Build cross platform desktop XSS. It's easier than you think.
    Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するた
    めのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリ
    ケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで
    Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能に
    している反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任
    意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日ま
    でにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報
    告している。
    本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題
    点を整理して理解することを目的にしている。
    Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連す
    るユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内
    ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超え
    る場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE
    BLUEのような場での発表には大きな意味があると考えます。
    背景となる状況
    背景となる状況

    View full-size slide

  25. Security Reject Conf
    CODEBLUE 2016の長谷川の応募。ちなみに、長谷川自身はこの応募の採択には一切関わっていません。
    タイトル: Electron - Build cross platform desktop XSS. It's easier than you think.
    Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するた
    めのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリ
    ケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで
    Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能に
    している反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任
    意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日ま
    でにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報
    告している。
    本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題
    点を整理して理解することを目的にしている。
    Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連す
    るユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内
    ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超え
    る場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE
    BLUEのような場での発表には大きな意味があると考えます。
    自分の成果

    View full-size slide

  26. Security Reject Conf
    CODEBLUE 2016の長谷川の応募。ちなみに、長谷川自身はこの応募の採択には一切関わっていません。
    タイトル: Electron - Build cross platform desktop XSS. It's easier than you think.
    Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するた
    めのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリ
    ケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで
    Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能に
    している反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任
    意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日ま
    でにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報
    告している。
    本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題
    点を整理して理解することを目的にしている。
    Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連す
    るユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内
    ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超え
    る場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE
    BLUEのような場での発表には大きな意味があると考えます。
    新規性

    View full-size slide

  27. Security Reject Conf
    CODEBLUE 2016の長谷川の応募。ちなみに、長谷川自身はこの応募の採択には一切関わっていません。
    タイトル: Electron - Build cross platform desktop XSS. It's easier than you think.
    Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するた
    めのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリ
    ケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで
    Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能に
    している反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任
    意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日ま
    でにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報
    告している。
    本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題
    点を整理して理解することを目的にしている。
    Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連す
    るユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内
    ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超え
    る場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE
    BLUEのような場での発表には大きな意味があると考えます。
    社会的影響
    社会的影響

    View full-size slide

  28. Security Reject Conf
    CODEBLUE 2016の長谷川の応募。ちなみに、長谷川自身はこの応募の採択には一切関わっていません。
    タイトル: Electron - Build cross platform desktop XSS. It's easier than you think.
    Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するた
    めのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリ
    ケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで
    Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能に
    している反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任
    意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日ま
    でにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報
    告している。
    本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題
    点を整理して理解することを目的にしている。
    Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連す
    るユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内
    ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超え
    る場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE
    BLUEのような場での発表には大きな意味があると考えます。
    ストーリー性
    ストーリー性

    View full-size slide

  29. Security Reject Conf
    それ以外の方法もある

    View full-size slide

  30. Security Reject Conf
    それ以外の方法
    新規性オンリー。まだ誰も手を出していない分野など。
    社会的影響オンリー。時事的な話題の深堀り、考察など。
    珍しい脆弱性をとにかく集めました系
    その他いろいろ
    とりあえず、CODE BLUE 2018のCFPは近日応募開始です。

    View full-size slide

  31. Security Reject Conf
    参考
    Black Hat Sample Submission
    https://www.blackhat.com/docs/us-18/cfp-sample-submissions.pdf
    How to get your talk accepted at Black Hat
    https://www.helpnetsecurity.com/2016/03/30/how-to-get-your-talk-
    accepted-at-black-hat/
    ↑話す内容を決めて、このスライドを作り終わってから
    上記ページを教えてもらいました thx kanaさん

    View full-size slide

  32. Security Reject Conf
    質問?
    [email protected]
    @hasegawayosuke
    http://utf-8.jp/

    View full-size slide