「OWASP Kyushu Local Chapter Meeting 3rd」の実況ツイートまとめ

2015年09月18日(木) スタートアップカフェBASESにて開催された 「OWASP Kyushu Local Chapter Meeting 3rd」の実況ツイートまとめ #owaspkyushu 告知ページ https://owasp-kyushu.doorkeeper.jp/events/29589
1
前へ 1 2 4 次へ
tksy(吉村 武志) @takesi_yosimura

反射型XSS、蓄積型XSSの話。 #owaspkyushu

2015-09-17 19:26:56
tksy(吉村 武志) @takesi_yosimura

で、DOM-based XSSって何ですか? JavaScriptが引き起こすXSS。 #owaspkyushu

2015-09-17 19:27:49
tksy(吉村 武志) @takesi_yosimura

<script> document.write( location.hash.substring(1) ); </script> で、URLに仕込みがあると… #owaspkyushu

2015-09-17 19:28:56
tksy(吉村 武志) @takesi_yosimura

DOM-based XSSはブラウザのXSSフィルタを通過する事が多い>< location.hashなどはサーバのログに残らない>< 既存の検査ツールでは検出不可な場合も>< #owaspkyushu

2015-09-17 19:30:12
tksy(吉村 武志) @takesi_yosimura

攻撃者はJavaScriptのソースコードを読んだ上で攻撃を仕掛ける事が出来るので攻撃者が一撃必殺!! コワイ! #owaspkyushu

2015-09-17 19:31:56
tksy(吉村 武志) @takesi_yosimura

圧倒的に不利な状況!!! #owaspkyushu

2015-09-17 19:32:29
tksy(吉村 武志) @takesi_yosimura

「XSS業界では」 #owaspkyushu

2015-09-17 19:33:51
tksy(吉村 武志) @takesi_yosimura

これまでサーバ側でやった対策をJavaScriptでもやりましょう! document.createTextNodeなどを使う! #owaspkyushu

2015-09-17 19:36:19
tksy(吉村 武志) @takesi_yosimura

シンクとなるAPIを不用意に使用しない!! #owaspkyushu

2015-09-17 19:37:43
tksy(吉村 武志) @takesi_yosimura

使用しているライブラリも更新しましょう! jQuery Mobile 1.2 Beta未満は読み込んでいるだけでXSS脆弱性を作る! など #owaspkyushu

2015-09-17 19:39:47
tksy(吉村 武志) @takesi_yosimura

さあ、ここから応用編!!! #owaspkyushu

2015-09-17 19:40:38
tksy(吉村 武志) @takesi_yosimura

原則だけでは立ち行かない現実>< 一部のタグだけは許容したいとか相対URLも使いたいとか言う現実 #owaspkyushu

2015-09-17 19:42:07
tksy(吉村 武志) @takesi_yosimura

テンプレート処理を自分で書くのはやめるべき。 汎用性に欠けるのに見通しの悪いコードが増える。 JSのテンプレートエンジンライブラリの導入 MV*フレームワークなど・・・各ライブラリの挙動を把握して使用すること #owaspkyushu

2015-09-17 19:45:39
tksy(吉村 武志) @takesi_yosimura

「頑張れとしか言えない世界ですけど」 #owaspkyushu

2015-09-17 19:46:36
tksy(吉村 武志) @takesi_yosimura

危険そうなタグ・属性を消すというアプローチは攻撃者はすり抜ける策を知っているのでダメ! #owaspkyushu

2015-09-17 19:48:43
いとかむ @ito_kamu

#owaspkyushu 危険なタグを取り除くのではなく 安全なタグで構築するのかぁ

2015-09-17 19:48:50
tksy(吉村 武志) @takesi_yosimura

安全なタグ、要素だけでHTMLを組み立てなおす DOMPurify github.com/cure53/DOMPuri… #owaspkyushu

2015-09-17 19:50:25
リンク GitHub cure53/DOMPurify DOMPurify - a DOM-only, super-fast, uber-tolerant XSS sanitizer for HTML, MathML and SVG
いとかむ @ito_kamu

#owaspkyushu めもめも DOMPurify

2015-09-17 19:50:39
tksy(吉村 武志) @takesi_yosimura

相対URLを使うために正規表現で頑張るのはやっぱりダメ。 相対URLを絶対URLに正規化する URLUtilsインタフェース(Chrome, Firefoxのみ) #owaspkyushu

2015-09-17 19:53:03
tksy(吉村 武志) @takesi_yosimura

絶対URLに変換した後にプロトコルを確認すれば良い! #owaspkyushu

2015-09-17 19:54:09
tksy(吉村 武志) @takesi_yosimura

HTML5 iframe sandboxが利用可能 JSの実行が禁止! #owaspkyushu

2015-09-17 19:55:24
いとかむ @ito_kamu

#owaspkyushu sandboxをつけとくと iframe内でJSが動かなくなるのかぁ

2015-09-17 19:57:42
tksy(吉村 武志) @takesi_yosimura

DOM-based XSS 探し方 スキャナで静的&動的解析(AppScan? DominatorePro?) 一番確実なのはJavaScriptのソースコードを読む! 無料! #owaspkyushu

2015-09-17 19:57:51
かをる @kaworu_san

javascript読むのは無料(๑ơ ₃ ơ)♡ #owaspkyushu

2015-09-17 19:58:17
前へ 1 2 4 次へ

いま話題のタグ

ガンダム2062 声優4019 ホテル561 おがくず153 ファッション3719 寄生虫111 邦キチ!映子さん22 骨格ストレート3 鉄道模型を捨ててから夫の様子がおかしい5 精神疾患116 子猫274 転売447 多様性354 寿司475 ミスタードーナツ88