All Your REJECT Are Belong To Us - リジェクトする側から -

All Your REJECT Are Belong To Us - リジェクトする側から -

8f55dafc5db5ad7ff5c68b4eabd1143c?s=128

hasegawayosuke

June 20, 2018
Tweet

Transcript

  1. 1.

    All Your REJECT Are Belong To Us - リジェクトする側から -

    (株)セキュアスカイ・テクノロジー 取締役CTO 長谷川陽介 セキュリティ・リジェクトコン 2018-07-08
  2. 2.

    Security Reject Conf 自己紹介 長谷川陽介 (はせがわようすけ / @hasegawayosuke) (株)セキュアスカイ・テクノロジー 取締役CTO

    千葉大学 非常勤講師 OWASP Kansai チャプターリーダー OWASP Japan ボードメンバー CODE BLUEカンファレンス レビューボードメンバー Internet Explorer、Mozilla FirefoxをはじめWebアプリ ケーションに関する多数の脆弱性を発見。 Black Hat Japan 2008、韓国POC 2008、2010、HITCON 2011、OWASP AppSec APAC 2014、CODE BLUE 2016他 講演や記事執筆も多数。 http://utf-8.jp/
  3. 5.

    Security Reject Conf 自己紹介 長谷川陽介 (はせがわようすけ / @hasegawayosuke) (株)セキュアスカイ・テクノロジー 取締役CTO

    千葉大学 非常勤講師 OWASP Kansai チャプターリーダー OWASP Japan ボードメンバー CODE BLUEカンファレンス レビューボードメンバー Internet Explorer、Mozilla FirefoxをはじめWebアプリ ケーションに関する多数の脆弱性を発見。 Black Hat Japan 2008、韓国POC 2008、2010、HITCON 2011、OWASP AppSec APAC 2014、CODE BLUE 2016他 講演や記事執筆も多数。 http://utf-8.jp/
  4. 6.

    Security Reject Conf 自己紹介 長谷川陽介 (はせがわようすけ / @hasegawayosuke) (株)セキュアスカイ・テクノロジー 取締役CTO

    千葉大学 非常勤講師 OWASP Kansai チャプターリーダー OWASP Japan ボードメンバー CODE BLUEカンファレンス レビューボードメンバー Internet Explorer、Mozilla FirefoxをはじめWebアプリ ケーションに関する多数の脆弱性を発見。 Black Hat Japan 2008、韓国POC 2008、2010、HITCON 2011、OWASP AppSec APAC 2014、CODE BLUE 2016他 講演や記事執筆も多数。 http://utf-8.jp/
  5. 8.

    Security Reject Conf CODE BLUE CODE BLUE 日本発のセキュリティカンファレンス https://codeblue.jp/ 世界中のトップクラスのリサーチャーが登壇

    レビューボード CODE BLUEのCFPを審査 毎年100以上の応募 15-20本程度を選出 様々な分野の専門家8名+で構成
  6. 13.

    Security Reject Conf 背景となる状況を書こう そのトピックの背景となる状況を簡潔に書いておく レビューする側はその分野の専門家でない場合もある (様々な分野の専門家を集めてカバーしあう場合が多い) 専門領域ではないレビュアーからの支持も得られると数で有利に なる 例えば

    「xxxxって手法でCSPをバイパスしてXSSできます」というトピック だとCSPが何かわからない非Webな人には刺さらない CSPがどのような位置づけで、どれくらい普及しているのかなどを 簡潔に書いておくことで、そのすごさが理解してもらいやすくなる ※さすがに大きなカンファレンスのレビュアーはCSPくらいは知ってます。あくまでも例です。
  7. 23.

    Security Reject Conf CODEBLUE 2016の長谷川の応募。ちなみに、長谷川自身はこの応募の採択には一切関わっていません。 タイトル: Electron - Build cross

    platform desktop XSS. It's easier than you think. Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するた めのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリ ケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能に している反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任 意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日ま でにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報 告している。 本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題 点を整理して理解することを目的にしている。 Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連す るユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内 ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超え る場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE BLUEのような場での発表には大きな意味があると考えます。
  8. 24.

    Security Reject Conf CODEBLUE 2016の長谷川の応募。ちなみに、長谷川自身はこの応募の採択には一切関わっていません。 タイトル: Electron - Build cross

    platform desktop XSS. It's easier than you think. Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するた めのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリ ケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能に している反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任 意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日ま でにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報 告している。 本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題 点を整理して理解することを目的にしている。 Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連す るユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内 ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超え る場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE BLUEのような場での発表には大きな意味があると考えます。 背景となる状況 背景となる状況
  9. 25.

    Security Reject Conf CODEBLUE 2016の長谷川の応募。ちなみに、長谷川自身はこの応募の採択には一切関わっていません。 タイトル: Electron - Build cross

    platform desktop XSS. It's easier than you think. Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するた めのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリ ケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能に している反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任 意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日ま でにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報 告している。 本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題 点を整理して理解することを目的にしている。 Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連す るユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内 ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超え る場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE BLUEのような場での発表には大きな意味があると考えます。 自分の成果
  10. 26.

    Security Reject Conf CODEBLUE 2016の長谷川の応募。ちなみに、長谷川自身はこの応募の採択には一切関わっていません。 タイトル: Electron - Build cross

    platform desktop XSS. It's easier than you think. Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するた めのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリ ケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能に している反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任 意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日ま でにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報 告している。 本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題 点を整理して理解することを目的にしている。 Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連す るユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内 ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超え る場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE BLUEのような場での発表には大きな意味があると考えます。 新規性
  11. 27.

    Security Reject Conf CODEBLUE 2016の長谷川の応募。ちなみに、長谷川自身はこの応募の採択には一切関わっていません。 タイトル: Electron - Build cross

    platform desktop XSS. It's easier than you think. Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するた めのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリ ケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能に している反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任 意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日ま でにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報 告している。 本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題 点を整理して理解することを目的にしている。 Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連す るユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内 ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超え る場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE BLUEのような場での発表には大きな意味があると考えます。 社会的影響 社会的影響
  12. 28.

    Security Reject Conf CODEBLUE 2016の長谷川の応募。ちなみに、長谷川自身はこの応募の採択には一切関わっていません。 タイトル: Electron - Build cross

    platform desktop XSS. It's easier than you think. Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するた めのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリ ケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能に している反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任 意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日ま でにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報 告している。 本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題 点を整理して理解することを目的にしている。 Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連す るユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内 ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超え る場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE BLUEのような場での発表には大きな意味があると考えます。 ストーリー性 ストーリー性
  13. 31.

    Security Reject Conf 参考 Black Hat Sample Submission https://www.blackhat.com/docs/us-18/cfp-sample-submissions.pdf How

    to get your talk accepted at Black Hat https://www.helpnetsecurity.com/2016/03/30/how-to-get-your-talk- accepted-at-black-hat/ ↑話す内容を決めて、このスライドを作り終わってから 上記ページを教えてもらいました thx kanaさん