Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Web Messaging のセキュリティ - DOM Invaderを添えて - / We...
Search
okuken
September 30, 2021
Technology
0
2.9k
Web Messaging のセキュリティ - DOM Invaderを添えて - / Web Messaging Security
Web Messaging のセキュリティについての簡単な説明と、デモを行います。
デモで使用するコードはGitHubで公開しています。
okuken
September 30, 2021
Tweet
Share
More Decks by okuken
See All by okuken
全集中Burp extension ISTE勉強会 第1回 / Burp ISTE study 01
okuken
0
450
全集中Burp extension ISTE v0.5.0 ー Request chain の躍進 / Burp extension ISTE v050
okuken
0
410
DOM Invader - prototype pollution対応の衝撃 - / DOM Invader - prototype pollution
okuken
0
820
npm Security ー サプライチェーン攻撃の観点から ー
okuken
1
680
全集中 Burp extension ISTE リリース1周年記念 - 振り返り - / Burp extension ISTE 1st Anniversary
okuken
0
530
Dangerous usage of JNDI
okuken
0
440
全集中 Burp extension ISTE v0.4リリース / Burp extension ISTE v0.4
okuken
0
470
DOM Invader - Burp Suiteの新機能でJavaScriptに立ち向かう - / DOM Invader
okuken
0
1.6k
#BurpISTEで!SECCON Beginners CTF 2021 Web問に全集中した話 / ctf4b 2021 with ISTE
okuken
1
560
Other Decks in Technology
See All in Technology
Knowledge Work の AI Backend
kworkdev
PRO
0
340
Autonomous Database - Dedicated 技術詳細 / adb-d_technical_detail_jp
oracle4engineer
PRO
5
12k
「もしもデータ基盤開発で『強くてニューゲーム』ができたなら今の僕はどんなデータ基盤を作っただろう」
aeonpeople
0
270
AWS re:Invent2025最新動向まとめ(NRIグループre:Cap 2025)
gamogamo
0
140
AI時代のアジャイルチームを目指して ー スクラムというコンフォートゾーンからの脱却 ー / Toward Agile Teams in the Age of AI
takaking22
0
270
AWS re:Inventre:cap ~AmazonNova 2 Omniのワークショップを体験してきた~
nrinetcom
PRO
0
120
日本Rubyの会: これまでとこれから
snoozer05
PRO
6
250
Oracle Cloud Infrastructure:2025年12月度サービス・アップデート
oracle4engineer
PRO
0
150
自己管理型チームと個人のセルフマネジメント 〜モチベーション編〜
kakehashi
PRO
2
360
戰略轉變:從建構 AI 代理人到發展可擴展的技能生態系統
appleboy
0
170
ルネサンス開発者を育てる 1on1支援AIエージェント
yusukeshimizu
0
130
『君の名は』と聞く君の名は。 / Your name, you who asks for mine.
nttcom
1
140
Featured
See All Featured
Leadership Guide Workshop - DevTernity 2021
reverentgeek
1
170
AI Search: Implications for SEO and How to Move Forward - #ShenzhenSEOConference
aleyda
1
1k
svc-hook: hooking system calls on ARM64 by binary rewriting
retrage
1
42
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
katarinadahlin
PRO
0
3.4k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
47
7.9k
More Than Pixels: Becoming A User Experience Designer
marktimemedia
2
270
The Organizational Zoo: Understanding Human Behavior Agility Through Metaphoric Constructive Conversations (based on the works of Arthur Shelley, Ph.D)
kimpetersen
PRO
0
210
How To Speak Unicorn (iThemes Webinar)
marktimemedia
1
360
Odyssey Design
rkendrick25
PRO
0
450
Bash Introduction
62gerente
615
210k
The AI Revolution Will Not Be Monopolized: How open-source beats economies of scale, even for LLMs
inesmontani
PRO
3
2.8k
Evolving SEO for Evolving Search Engines
ryanjones
0
89
Transcript
Web Messaging のセキュリティ -DOM Invader を添えて- @okuken3 2021.09.30 第11回 初心者のためのセキュリティ勉強会
0. 自己紹介 1. Web Messaging とは 2. Web Messaging のセキュリティ
3. デモ 4. 参考サイト Agenda
NO IMAGE Kenichi Okuno Twitter: @okuken3 略歴 1. SIerで色々 2.
業務パッケージベンダで開発 3. Web事業会社でプロダクトセキュリティチーム立上げ 4. 情報セキュリティサービス会社でWeb脆弱性診断 最近の出来事 ・家庭内RPA 1ネタ運用開始 ・ISTE v0.4.0 近日リリース予定
1. Web Messaging とは ✓ HTML5で導入されたAPI ✓ 異なるOriginのWindowオブジェクト間で メッセージのやりとりができる
1. Web Messaging とは iframe https://a.example.com https://a.example.com https://b.example.com message message
2. Web Messaging のセキュリティ ✓ 想定内の相手(Origin)とだけやりとりする ・送信時:送信先のOriginを指定する ・受信時:送信元のOriginを確認する ✓ 悪意を前提としてメッセージを扱う
・相手のサイトが攻撃者の手に落ちている可能性も考慮する
3. デモ ・Cross-document messaging https://github.com/okuken/sectest_html5/tree/main/01_cross-document_messaging ・Channel messaging https://github.com/okuken/sectest_html5/tree/main/02_channel_messaging
(補足) DOM Invader の機能 DOM-based XSS 関連 ・カナリアによるシンク/ソース検出 ・カナリアの自動挿入 ・イベントの自動発火
・リダイレクト防止 Web Messaging 関連 ・postMessage のキャプチャ ・脆弱性スキャン ・カナリアの自動挿入 ・Messageのリピート送信 ・Messageの自動生成/送信 ・Originのスプーフィング DOM Invader 本日はこちらを使用
None
None
4. 参考サイト https://html.spec.whatwg.org/multipage/web-messaging.html https://developer.mozilla.org/ja/docs/Web/API/Window/postMessage https://developer.mozilla.org/ja/docs/Web/API/MessageChannel https://cheatsheetseries.owasp.org/cheatsheets/HTML5_Security_Cheat_Sheet.html https://owasp.org/www-project-web-security-testing-guide/stable/4- Web_Application_Security_Testing/11-Client-side_Testing/11-Testing_Web_Messaging
None
okuken
kworkdev
oracle4engineer
aeonpeople
gamogamo
takaking22
nrinetcom
snoozer05
kakehashi
appleboy
yusukeshimizu
nttcom
reverentgeek
aleyda
retrage
katarinadahlin
eileencodes
marktimemedia
kimpetersen
rkendrick25
62gerente
inesmontani
ryanjones
