Upgrade to Pro — share decks privately, control downloads, hide ads and more …

All Your REJECT Are Belong To Us - リジェクトする側から -

8f55dafc5db5ad7ff5c68b4eabd1143c?s=47 hasegawayosuke
June 20, 2018
Technology
4
2.2k

All Your REJECT Are Belong To Us - リジェクトする側から -

8f55dafc5db5ad7ff5c68b4eabd1143c?s=128

hasegawayosuke

June 20, 2018
Tweet

More Decks by hasegawayosuke

See All by hasegawayosuke
これからのフロントエンドセキュリティ
8f55dafc5db5ad7ff5c68b4eabd1143c?s=48 hasegawayosuke
36
12k
SSRF基礎
8f55dafc5db5ad7ff5c68b4eabd1143c?s=48 hasegawayosuke
24
11k
Node.jsセキュリティ
8f55dafc5db5ad7ff5c68b4eabd1143c?s=48 hasegawayosuke
14
4.7k
脆弱性診断を通じて見えてくるWebセキュリティ
8f55dafc5db5ad7ff5c68b4eabd1143c?s=48 hasegawayosuke
12
4.2k
プロキシーツールとかを使うときの小技
8f55dafc5db5ad7ff5c68b4eabd1143c?s=48 hasegawayosuke
11
2.6k
あなたのWebアプリケーション OWASP TOP 10に対応できていますか?
8f55dafc5db5ad7ff5c68b4eabd1143c?s=48 hasegawayosuke
0
200
WebアプリをOWASP TOP 10に対応させよう / #shibuyaxss techtalk #10
8f55dafc5db5ad7ff5c68b4eabd1143c?s=48 hasegawayosuke
8
2.3k

Other Decks in Technology

See All in Technology
tfcon-2022-cpp
Dcc589548f0372645aaeb95bda8e22c2?s=48 cpp
5
4k
エンジニアと気軽に繋がれるプラットフォーム「ハッカー飯」で行った セキュリティ・モニタリングに関する取り組みについて
8989dfee7c4a1360817fccb657d695bc?s=48 nobuakikikuchi
0
340
AWS Control TowerとAWS Organizationsを活用した組織におけるセキュリティ設定
F2ccc400e285972d80feab0e4e57b5f7?s=48 fu3ak1
2
580
LINEスタンプの実例紹介 小さく始める障害検知・対応・振り返りの 改善プラクティス
A3966f193f4bef226a0d3e3c1f728d7f?s=48 line_developers
PRO
3
810
220428event_matsuda_part
E55fbffb4afd0a84d36c945ed68d8c19?s=48 caddi_eng
0
240
HTTP Session Architecture Pattern
484571ccba0db66b69dc11761afdd0c4?s=48 chiroito
1
320
[SRE NEXT 2022]ヤプリのSREにおけるセキュリティ強化の取り組みを公開する
Ee9f5f5b17a075129d7c48ad157a9ab3?s=48 mmochi23
1
150
Okta Identity Engineってどうよ?
66310d2dc1c18188f722d71dfb444bad?s=48 tatsumin39
0
270
Adopting Kafka for the #1 job site in the world
D984cd543d2abef28596cc5cfe82240c?s=48 ymyzk
1
220
Nutanix_Meetup_20220511
0fca98ba59a23fc0a4a2a53701a2bae1?s=48 keigotomomatsu
0
130
How We Foster Reliability in Diversity
Ed424b1e857828ce69b0fdf4c3291d2e?s=48 nari_ex
PRO
8
1.6k
New Features in C# 10/11
1c3658db58f755e44fc1a70255c08ff7?s=48 chack411
0
410

Featured

See All Featured
JavaScript: Past, Present, and Future - NDC Porto 2020
3ab1249be442027903e1180025340b3f?s=48 reverentgeek
37
3.2k
Put a Button on it: Removing Barriers to Going Fast.
Bfd6b681ec6e8c9bef82ff0521c364f7?s=48 kastner
56
2.3k
Unsuck your backbone
B83d5b590577969ee79a5ad845411a7d?s=48 ammeep
659
55k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
C44e1f7e22c3f23cff7bc130871047ef?s=48 eileencodes
119
28k
Raft: Consensus for Rubyists
B6a8f005f39d23ffc930508ac9da68b9?s=48 vanstee
126
5.4k
Reflections from 52 weeks, 52 projects
E43f8dfd01057f8304f5f8fb9a294d7d?s=48 jeffersonlam
337
17k
Code Review Best Practice
3d6ace9554821d552146413bcdf874f6?s=48 trishagee
41
6.7k
Streamline your AJAX requests with AmplifyJS and jQuery
9cde37f47e4a800ea081ea42de8d749a?s=48 dougneiner
125
8.5k
Designing Dashboards & Data Visualisations in Web Apps
Fde6c3a50ca518a909ef35c22c0ee0e4?s=48 destraynor
224
49k
YesSQL, Process and Tooling at Scale
D09fad3e36ae6841f54820be0e907f7a?s=48 rocio
157
12k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
D8fc2580cfaca035f666d9e4ee79a7f7?s=48 mongodb
29
4.3k
The Power of CSS Pseudo Elements
5b6a2bd86ef643786a381a212e0ef2f1?s=48 geoffreycrofte
46
3.9k

Transcript

  1. All Your REJECT Are Belong To Us - リジェクトする側から -

    (株)セキュアスカイ・テクノロジー 取締役CTO 長谷川陽介 セキュリティ・リジェクトコン 2018-07-08

  2. Security Reject Conf 自己紹介 長谷川陽介 (はせがわようすけ / @hasegawayosuke) (株)セキュアスカイ・テクノロジー 取締役CTO

    千葉大学 非常勤講師 OWASP Kansai チャプターリーダー OWASP Japan ボードメンバー CODE BLUEカンファレンス レビューボードメンバー Internet Explorer、Mozilla FirefoxをはじめWebアプリ ケーションに関する多数の脆弱性を発見。 Black Hat Japan 2008、韓国POC 2008、2010、HITCON 2011、OWASP AppSec APAC 2014、CODE BLUE 2016他 講演や記事執筆も多数。 http://utf-8.jp/

  3. Security Reject Conf リジェクトコンの参加をリジェクトされた話 え はせがわさん、参加 リジェクトですよ。 発表枠で適当に 話してください

  4. Security Reject Conf リジェクトコンの参加をリジェクトされた話 え はせがわさん、参加 リジェクトですよ。 発表枠で適当に 話してください ない

  5. Security Reject Conf 自己紹介 長谷川陽介 (はせがわようすけ / @hasegawayosuke) (株)セキュアスカイ・テクノロジー 取締役CTO

    千葉大学 非常勤講師 OWASP Kansai チャプターリーダー OWASP Japan ボードメンバー CODE BLUEカンファレンス レビューボードメンバー Internet Explorer、Mozilla FirefoxをはじめWebアプリ ケーションに関する多数の脆弱性を発見。 Black Hat Japan 2008、韓国POC 2008、2010、HITCON 2011、OWASP AppSec APAC 2014、CODE BLUE 2016他 講演や記事執筆も多数。 http://utf-8.jp/

  6. Security Reject Conf 自己紹介 長谷川陽介 (はせがわようすけ / @hasegawayosuke) (株)セキュアスカイ・テクノロジー 取締役CTO

    千葉大学 非常勤講師 OWASP Kansai チャプターリーダー OWASP Japan ボードメンバー CODE BLUEカンファレンス レビューボードメンバー Internet Explorer、Mozilla FirefoxをはじめWebアプリ ケーションに関する多数の脆弱性を発見。 Black Hat Japan 2008、韓国POC 2008、2010、HITCON 2011、OWASP AppSec APAC 2014、CODE BLUE 2016他 講演や記事執筆も多数。 http://utf-8.jp/

  7. Security Reject Conf CODE BLUE ? レビューボード ?

  8. Security Reject Conf CODE BLUE CODE BLUE 日本発のセキュリティカンファレンス https://codeblue.jp/ 世界中のトップクラスのリサーチャーが登壇

    レビューボード CODE BLUEのCFPを審査 毎年100以上の応募 15-20本程度を選出 様々な分野の専門家8名+で構成

  9. Security Reject Conf 受かるCFPの書き方 ここからの話は個人的主観 and/or 一般論であって 特定のカンファレンスの採択条件や基準というわけではありません

  10. Security Reject Conf 1. 評価軸を考えよう

  11. Security Reject Conf 評価軸を考えよう 採択、レビュー、評価には通常なにかしらの評価軸がある 評価ルールとして明確に定めている場合だけでなく、レビュアー それぞれが無意識・暗黙的にもっている場合もある 評価軸にどのようなものがあるか 考えてみる 例:技術力、将来性、情熱、実行力、

    社交性 ※社交性とか情熱が要求されるカンファレンスはないとは 思うけど。あくまでも例です。 自分の応募を自分で評価してみる 「技術しか考えてなかった」みたいな気付き

  12. Security Reject Conf 2. 背景となる状況を書こう

  13. Security Reject Conf 背景となる状況を書こう そのトピックの背景となる状況を簡潔に書いておく レビューする側はその分野の専門家でない場合もある (様々な分野の専門家を集めてカバーしあう場合が多い) 専門領域ではないレビュアーからの支持も得られると数で有利に なる 例えば

    「xxxxって手法でCSPをバイパスしてXSSできます」というトピック だとCSPが何かわからない非Webな人には刺さらない CSPがどのような位置づけで、どれくらい普及しているのかなどを 簡潔に書いておくことで、そのすごさが理解してもらいやすくなる ※さすがに大きなカンファレンスのレビュアーはCSPくらいは知ってます。あくまでも例です。

  14. Security Reject Conf 3. 自分の成果をきちんと書く

  15. Security Reject Conf 自分の成果をきちんと書く 自分がやったことをきちんと書く 作ったもの、調べたこと、探した脆弱性、新しく見つけた手法など、 自分自身の「具体的な」成果を明確にする 意外と書かれていないCFPがある(らしい) 「新しい手法について紹介します。(具体的な手法の記載なし)」 出し惜しみ?

    「宇宙時代のセキュリティについて考察してみた」 いや君は何をやったの?宇宙にいったの? 「SQLインジェクションの脅威について説明します」 いやそれはみんな知ってるから。やったこと教えて。

  16. Security Reject Conf 4. 新規性

  17. Security Reject Conf 新規性 学会でおなじみのやつ 「で、その研究の新規性は?」 既存の研究、既存の手法、既存の機能などを解説する場で はない 勉強会ならそれもありだけどカンファレンスでは…。

  18. Security Reject Conf 5. 社会的な影響を記載しよう

  19. Security Reject Conf 社会的な影響を記載しよう 自分の成果によって社会がどのように変化するのかを明確 に記述する 「このツールによって多くのアプリケーションが安全になる」 「この攻撃法によってこれまで安全とされていたアプリケーション でも注意が必要となる」 社会的影響が(いい意味でも悪い意味でも)大きいトピック

    は採択されやすい

  20. Security Reject Conf 6. ストーリー性を持たせよう

  21. Security Reject Conf ストーリー性を持たせよう CFPにもきちんとストーリーを。 そのトピックの分野では現在どういう背景があるのか 自分の成果はその背景事情の中でどういう位置づけか 自分の成果によって社会にどういう影響があるのか ストーリー性がないものは採択されにくい 「すごい脆弱性見つけました!(めっちゃ技術的な難易度高い)」

    ↑前後のストーリーが欲しい 点だけでなく、点をつなぐ線を意識する

  22. Security Reject Conf acceptされたCFPの実例

  23. Security Reject Conf CODEBLUE 2016の長谷川の応募。ちなみに、長谷川自身はこの応募の採択には一切関わっていません。 タイトル: Electron - Build cross

    platform desktop XSS. It's easier than you think. Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するた めのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリ ケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能に している反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任 意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日ま でにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報 告している。 本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題 点を整理して理解することを目的にしている。 Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連す るユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内 ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超え る場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE BLUEのような場での発表には大きな意味があると考えます。

  24. Security Reject Conf CODEBLUE 2016の長谷川の応募。ちなみに、長谷川自身はこの応募の採択には一切関わっていません。 タイトル: Electron - Build cross

    platform desktop XSS. It's easier than you think. Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するた めのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリ ケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能に している反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任 意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日ま でにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報 告している。 本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題 点を整理して理解することを目的にしている。 Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連す るユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内 ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超え る場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE BLUEのような場での発表には大きな意味があると考えます。 背景となる状況 背景となる状況

  25. Security Reject Conf CODEBLUE 2016の長谷川の応募。ちなみに、長谷川自身はこの応募の採択には一切関わっていません。 タイトル: Electron - Build cross

    platform desktop XSS. It's easier than you think. Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するた めのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリ ケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能に している反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任 意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日ま でにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報 告している。 本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題 点を整理して理解することを目的にしている。 Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連す るユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内 ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超え る場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE BLUEのような場での発表には大きな意味があると考えます。 自分の成果

  26. Security Reject Conf CODEBLUE 2016の長谷川の応募。ちなみに、長谷川自身はこの応募の採択には一切関わっていません。 タイトル: Electron - Build cross

    platform desktop XSS. It's easier than you think. Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するた めのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリ ケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能に している反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任 意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日ま でにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報 告している。 本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題 点を整理して理解することを目的にしている。 Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連す るユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内 ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超え る場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE BLUEのような場での発表には大きな意味があると考えます。 新規性

  27. Security Reject Conf CODEBLUE 2016の長谷川の応募。ちなみに、長谷川自身はこの応募の採択には一切関わっていません。 タイトル: Electron - Build cross

    platform desktop XSS. It's easier than you think. Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するた めのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリ ケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能に している反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任 意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日ま でにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報 告している。 本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題 点を整理して理解することを目的にしている。 Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連す るユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内 ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超え る場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE BLUEのような場での発表には大きな意味があると考えます。 社会的影響 社会的影響

  28. Security Reject Conf CODEBLUE 2016の長谷川の応募。ちなみに、長谷川自身はこの応募の採択には一切関わっていません。 タイトル: Electron - Build cross

    platform desktop XSS. It's easier than you think. Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するた めのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリ ケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能に している反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任 意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日ま でにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報 告している。 本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題 点を整理して理解することを目的にしている。 Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連す るユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内 ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超え る場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE BLUEのような場での発表には大きな意味があると考えます。 ストーリー性 ストーリー性

  29. Security Reject Conf それ以外の方法もある

  30. Security Reject Conf それ以外の方法 新規性オンリー。まだ誰も手を出していない分野など。 社会的影響オンリー。時事的な話題の深堀り、考察など。 珍しい脆弱性をとにかく集めました系 その他いろいろ とりあえず、CODE BLUE

    2018のCFPは近日応募開始です。

  31. Security Reject Conf 参考 Black Hat Sample Submission https://www.blackhat.com/docs/us-18/cfp-sample-submissions.pdf How

    to get your talk accepted at Black Hat https://www.helpnetsecurity.com/2016/03/30/how-to-get-your-talk- accepted-at-black-hat/ ↑話す内容を決めて、このスライドを作り終わってから 上記ページを教えてもらいました thx kanaさん

  32. Security Reject Conf 質問? hasegawa@securesky-tech.com @hasegawayosuke http://utf-8.jp/