All Your REJECT Are Belong To Us － リジェクトする側から － (株)セキュアスカイ・テクノロジー 取締役CTO 長谷川陽介 セキュリティ・リジェクトコン 2018-07-08

Security Reject Conf 自己紹介 長谷川陽介 (はせがわようすけ / @hasegawayosuke) (株)セキュアスカイ・テクノロジー 取締役CTO 千葉大学 非常勤講師 OWASP Kansai チャプターリーダー OWASP Japan ボードメンバー CODE BLUEカンファレンス レビューボードメンバー Internet Explorer、Mozilla FirefoxをはじめWebアプリ ケーションに関する多数の脆弱性を発見。 Black Hat Japan 2008、韓国POC 2008、2010、HITCON 2011、OWASP AppSec APAC 2014、CODE BLUE 2016他 講演や記事執筆も多数。 http://utf-8.jp/

Security Reject Conf リジェクトコンの参加をリジェクトされた話 え はせがわさん、参加 リジェクトですよ。 発表枠で適当に 話してください

Security Reject Conf リジェクトコンの参加をリジェクトされた話 え はせがわさん、参加 リジェクトですよ。 発表枠で適当に 話してください ない

Security Reject Conf 自己紹介 長谷川陽介 (はせがわようすけ / @hasegawayosuke) (株)セキュアスカイ・テクノロジー 取締役CTO 千葉大学 非常勤講師 OWASP Kansai チャプターリーダー OWASP Japan ボードメンバー CODE BLUEカンファレンス レビューボードメンバー Internet Explorer、Mozilla FirefoxをはじめWebアプリ ケーションに関する多数の脆弱性を発見。 Black Hat Japan 2008、韓国POC 2008、2010、HITCON 2011、OWASP AppSec APAC 2014、CODE BLUE 2016他 講演や記事執筆も多数。 http://utf-8.jp/

Security Reject Conf 自己紹介 長谷川陽介 (はせがわようすけ / @hasegawayosuke) (株)セキュアスカイ・テクノロジー 取締役CTO 千葉大学 非常勤講師 OWASP Kansai チャプターリーダー OWASP Japan ボードメンバー CODE BLUEカンファレンス レビューボードメンバー Internet Explorer、Mozilla FirefoxをはじめWebアプリ ケーションに関する多数の脆弱性を発見。 Black Hat Japan 2008、韓国POC 2008、2010、HITCON 2011、OWASP AppSec APAC 2014、CODE BLUE 2016他 講演や記事執筆も多数。 http://utf-8.jp/

Security Reject Conf CODE BLUE ？ レビューボード ？

Security Reject Conf CODE BLUE CODE BLUE 日本発のセキュリティカンファレンス https://codeblue.jp/ 世界中のトップクラスのリサーチャーが登壇 レビューボード CODE BLUEのCFPを審査 毎年１００以上の応募 15-20本程度を選出 様々な分野の専門家8名+で構成

Security Reject Conf 受かるCFPの書き方 ここからの話は個人的主観 and/or 一般論であって 特定のカンファレンスの採択条件や基準というわけではありません

Security Reject Conf 1. 評価軸を考えよう

Security Reject Conf 評価軸を考えよう 採択、レビュー、評価には通常なにかしらの評価軸がある 評価ルールとして明確に定めている場合だけでなく、レビュアー それぞれが無意識・暗黙的にもっている場合もある 評価軸にどのようなものがあるか 考えてみる 例：技術力、将来性、情熱、実行力、 社交性 ※社交性とか情熱が要求されるカンファレンスはないとは 思うけど。あくまでも例です。 自分の応募を自分で評価してみる 「技術しか考えてなかった」みたいな気付き

Security Reject Conf 2. 背景となる状況を書こう

Security Reject Conf 背景となる状況を書こう そのトピックの背景となる状況を簡潔に書いておく レビューする側はその分野の専門家でない場合もある (様々な分野の専門家を集めてカバーしあう場合が多い) 専門領域ではないレビュアーからの支持も得られると数で有利に なる 例えば 「xxxxって手法でCSPをバイパスしてXSSできます」というトピック だとCSPが何かわからない非Webな人には刺さらない CSPがどのような位置づけで、どれくらい普及しているのかなどを 簡潔に書いておくことで、そのすごさが理解してもらいやすくなる ※さすがに大きなカンファレンスのレビュアーはCSPくらいは知ってます。あくまでも例です。

Security Reject Conf 3. 自分の成果をきちんと書く

Security Reject Conf 自分の成果をきちんと書く 自分がやったことをきちんと書く 作ったもの、調べたこと、探した脆弱性、新しく見つけた手法など、 自分自身の「具体的な」成果を明確にする 意外と書かれていないCFPがある(らしい) 「新しい手法について紹介します。（具体的な手法の記載なし）」 出し惜しみ？ 「宇宙時代のセキュリティについて考察してみた」 いや君は何をやったの？宇宙にいったの？ 「SQLインジェクションの脅威について説明します」 いやそれはみんな知ってるから。やったこと教えて。

Security Reject Conf 4. 新規性

Security Reject Conf 新規性 学会でおなじみのやつ 「で、その研究の新規性は？」 既存の研究、既存の手法、既存の機能などを解説する場で はない 勉強会ならそれもありだけどカンファレンスでは…。

Security Reject Conf 5. 社会的な影響を記載しよう

Security Reject Conf 社会的な影響を記載しよう 自分の成果によって社会がどのように変化するのかを明確 に記述する 「このツールによって多くのアプリケーションが安全になる」 「この攻撃法によってこれまで安全とされていたアプリケーション でも注意が必要となる」 社会的影響が(いい意味でも悪い意味でも)大きいトピック は採択されやすい

Security Reject Conf 6. ストーリー性を持たせよう

Security Reject Conf ストーリー性を持たせよう CFPにもきちんとストーリーを。 そのトピックの分野では現在どういう背景があるのか 自分の成果はその背景事情の中でどういう位置づけか 自分の成果によって社会にどういう影響があるのか ストーリー性がないものは採択されにくい 「すごい脆弱性見つけました！（めっちゃ技術的な難易度高い）」 ↑前後のストーリーが欲しい 点だけでなく、点をつなぐ線を意識する

Security Reject Conf acceptされたCFPの実例

Security Reject Conf CODEBLUE 2016の長谷川の応募。ちなみに、長谷川自身はこの応募の採択には一切関わっていません。 タイトル： Electron - Build cross platform desktop XSS. It's easier than you think. Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するた めのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリ ケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能に している反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任 意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日ま でにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報 告している。 本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題 点を整理して理解することを目的にしている。 Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連す るユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内 ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超え る場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE BLUEのような場での発表には大きな意味があると考えます。

Security Reject Conf CODEBLUE 2016の長谷川の応募。ちなみに、長谷川自身はこの応募の採択には一切関わっていません。 タイトル： Electron - Build cross platform desktop XSS. It's easier than you think. Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するた めのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリ ケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能に している反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任 意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日ま でにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報 告している。 本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題 点を整理して理解することを目的にしている。 Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連す るユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内 ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超え る場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE BLUEのような場での発表には大きな意味があると考えます。 背景となる状況 背景となる状況

Security Reject Conf CODEBLUE 2016の長谷川の応募。ちなみに、長谷川自身はこの応募の採択には一切関わっていません。 タイトル： Electron - Build cross platform desktop XSS. It's easier than you think. Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するた めのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリ ケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能に している反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任 意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日ま でにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報 告している。 本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題 点を整理して理解することを目的にしている。 Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連す るユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内 ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超え る場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE BLUEのような場での発表には大きな意味があると考えます。 自分の成果

Security Reject Conf CODEBLUE 2016の長谷川の応募。ちなみに、長谷川自身はこの応募の採択には一切関わっていません。 タイトル： Electron - Build cross platform desktop XSS. It's easier than you think. Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するた めのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリ ケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能に している反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任 意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日ま でにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報 告している。 本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題 点を整理して理解することを目的にしている。 Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連す るユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内 ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超え る場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE BLUEのような場での発表には大きな意味があると考えます。 新規性

Security Reject Conf CODEBLUE 2016の長谷川の応募。ちなみに、長谷川自身はこの応募の採択には一切関わっていません。 タイトル： Electron - Build cross platform desktop XSS. It's easier than you think. Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するた めのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリ ケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能に している反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任 意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日ま でにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報 告している。 本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題 点を整理して理解することを目的にしている。 Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連す るユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内 ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超え る場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE BLUEのような場での発表には大きな意味があると考えます。 社会的影響 社会的影響

Security Reject Conf CODEBLUE 2016の長谷川の応募。ちなみに、長谷川自身はこの応募の採択には一切関わっていません。 タイトル： Electron - Build cross platform desktop XSS. It's easier than you think. Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するた めのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリ ケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することで Webアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能に している反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任 意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日ま でにElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報 告している。 本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題 点を整理して理解することを目的にしている。 Electronを用いた開発におけるセキュリティ上の問題点については、日本国内では関連す るユーザーコミュニティにおいて私自身が積極的に同種の内容を発表しているため、国内 ではある程度の共通認識ができあがっているが、裏を返せば、国内のコミュニティを超え る場所ではElectronのセキュリティ上の問題点はほとんど議論されていないため、CODE BLUEのような場での発表には大きな意味があると考えます。 ストーリー性 ストーリー性

Security Reject Conf それ以外の方法もある

Security Reject Conf それ以外の方法 新規性オンリー。まだ誰も手を出していない分野など。 社会的影響オンリー。時事的な話題の深堀り、考察など。 珍しい脆弱性をとにかく集めました系 その他いろいろ とりあえず、CODE BLUE 2018のCFPは近日応募開始です。

Security Reject Conf 参考 Black Hat Sample Submission https://www.blackhat.com/docs/us-18/cfp-sample-submissions.pdf How to get your talk accepted at Black Hat https://www.helpnetsecurity.com/2016/03/30/how-to-get-your-talk- accepted-at-black-hat/ ↑話す内容を決めて、このスライドを作り終わってから 上記ページを教えてもらいました thx kanaさん

Security Reject Conf 質問? hasegawa@securesky-tech.com @hasegawayosuke http://utf-8.jp/