Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Web Messaging のセキュリティ - DOM Invaderを添えて - / We...

Avatar for okuken okuken
September 30, 2021
Technology
0
2.8k

Web Messaging のセキュリティ - DOM Invaderを添えて - / Web Messaging Security

Web Messaging のセキュリティについての簡単な説明と、デモを行います。
デモで使用するコードはGitHubで公開しています。

Avatar for okuken

okuken

September 30, 2021
Tweet

More Decks by okuken

See All by okuken
全集中Burp extension ISTE勉強会 第1回 / Burp ISTE study 01
Avatar for okuken okuken
0
430
全集中Burp extension ISTE v0.5.0 ー Request chain の躍進 / Burp extension ISTE v050
Avatar for okuken okuken
0
400
DOM Invader - prototype pollution対応の衝撃 - / DOM Invader - prototype pollution
Avatar for okuken okuken
0
820
npm Security ー サプライチェーン攻撃の観点から ー
Avatar for okuken okuken
1
660
全集中 Burp extension ISTE リリース1周年記念 - 振り返り - / Burp extension ISTE 1st Anniversary
Avatar for okuken okuken
0
520
Dangerous usage of JNDI
Avatar for okuken okuken
0
430
全集中 Burp extension ISTE v0.4リリース / Burp extension ISTE v0.4
Avatar for okuken okuken
0
460
DOM Invader - Burp Suiteの新機能でJavaScriptに立ち向かう - / DOM Invader
Avatar for okuken okuken
0
1.5k
#BurpISTEで!SECCON Beginners CTF 2021 Web問に全集中した話 / ctf4b 2021 with ISTE
Avatar for okuken okuken
1
560

Other Decks in Technology

See All in Technology
AI時代に必要なデータプラットフォームの要件とは by @Kazaneya_PR / 20251107
Avatar for 風音屋 (Kazaneya) kazaneya
PRO
4
730
CLIPでマルチモーダル画像検索 →とても良い
Avatar for Motoi Washida wm3
2
810
激動の時代を爆速リチーミングで乗り越えろ
Avatar for SansanTech sansantech
PRO
1
260
Copilotの精度を上げる!カスタムプロンプト入門.pdf
Avatar for Izumu KUSUNOKI ismk
5
1.3k
AWS re:Invent 2025事前勉強会資料 / AWS re:Invent 2025 pre study meetup
Avatar for Masanori Yamaguchi kinunori
0
1.1k
Raycast AI APIを使ってちょっと便利なAI拡張機能を作ってみた
Avatar for ryo kawamataryo
1
250
re:Invent 2025の見どころと便利アイテムをご紹介 / Highlights and Useful Items for re:Invent 2025
Avatar for Yuji Oshima yuj1osm
0
700
どうなる Remix 3
Avatar for Hisateru Tanaka tanakahisateru
0
250
進化する大規模言語モデル評価: Swallowプロジェクトにおける実践と知見
Avatar for Naoaki Okazaki chokkan
PRO
3
470
dbtとAIエージェントを組み合わせて見えたデータ調査の新しい形
Avatar for 10xinc 10xinc
7
1.8k
GPUをつかってベクトル検索を 扱う手法のお話し ~NVIDIA cuVSとCAGRA~
Avatar for fshuhe fshuhe
0
390
[Journal club] Thinking in Space: How Multimodal Large Language Models See, Remember, and Recall Spaces
Avatar for Semantic Machine Intelligence Lab., Keio Univ. keio_smilab
PRO
0
120

Featured

See All Featured
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
658
61k
Building Applications with DynamoDB
Avatar for Matt Wood mza
96
6.7k
Building Flexible Design Systems
Avatar for Yesenia Perez-Cruz yeseniaperezcruz
329
39k
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
PRO
23
1.5k
The MySQL Ecosystem @ GitHub 2015
Avatar for Sam Lambert samlambert
251
13k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
Avatar for Chris Coyier chriscoyier
508
140k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
526
40k
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
16
1.7k
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
463
33k
Six Lessons from altMBA
Avatar for Skipper Chong Warson skipperchong
29
4k
CSS Pre-Processors: Stylus, Less & Sass
Avatar for Bermon Painter bermonpainter
359
30k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
48
9.7k

Transcript

  1. Web Messaging のセキュリティ -DOM Invader を添えて- @okuken3 2021.09.30 第11回 初心者のためのセキュリティ勉強会

  2. 0. 自己紹介 1. Web Messaging とは 2. Web Messaging のセキュリティ

    3. デモ 4. 参考サイト Agenda

  3. NO IMAGE Kenichi Okuno  Twitter: @okuken3 略歴  1. SIerで色々  2.

    業務パッケージベンダで開発  3. Web事業会社でプロダクトセキュリティチーム立上げ  4. 情報セキュリティサービス会社でWeb脆弱性診断 最近の出来事  ・家庭内RPA 1ネタ運用開始  ・ISTE v0.4.0 近日リリース予定

  4. 1. Web Messaging とは  ✓ HTML5で導入されたAPI  ✓ 異なるOriginのWindowオブジェクト間で    メッセージのやりとりができる

  5. 1. Web Messaging とは iframe https://a.example.com https://a.example.com https://b.example.com message message

  6. 2. Web Messaging のセキュリティ  ✓ 想定内の相手(Origin)とだけやりとりする    ・送信時:送信先のOriginを指定する    ・受信時:送信元のOriginを確認する  ✓ 悪意を前提としてメッセージを扱う

       ・相手のサイトが攻撃者の手に落ちている可能性も考慮する

  7. 3. デモ ・Cross-document messaging https://github.com/okuken/sectest_html5/tree/main/01_cross-document_messaging ・Channel messaging https://github.com/okuken/sectest_html5/tree/main/02_channel_messaging

  8. (補足) DOM Invader の機能 DOM-based XSS 関連  ・カナリアによるシンク/ソース検出  ・カナリアの自動挿入  ・イベントの自動発火

     ・リダイレクト防止 Web Messaging 関連  ・postMessage のキャプチャ  ・脆弱性スキャン  ・カナリアの自動挿入  ・Messageのリピート送信  ・Messageの自動生成/送信  ・Originのスプーフィング DOM Invader 本日はこちらを使用
  9. None
  10. None

  11. 4. 参考サイト https://html.spec.whatwg.org/multipage/web-messaging.html https://developer.mozilla.org/ja/docs/Web/API/Window/postMessage https://developer.mozilla.org/ja/docs/Web/API/MessageChannel https://cheatsheetseries.owasp.org/cheatsheets/HTML5_Security_Cheat_Sheet.html https://owasp.org/www-project-web-security-testing-guide/stable/4- Web_Application_Security_Testing/11-Client-side_Testing/11-Testing_Web_Messaging

  12. None