[CB16] Electron - Build cross platform desktop XSS, it’s easier than you thin...CODE BLUE
Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するためのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することでWebアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能にしている反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日までに著名なElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報告している。
本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題点を整理して理解することを目的にしている。
--- はせがわ ようすけYosuke Hasegawa
株式会社セキュアスカイ・テクノロジー常勤技術顧問。
Internet Explorer、Mozilla FirefoxをはじめWebアプリケーションに関する多数の脆弱性を発見。 Black Hat Japan 2008、韓国POC 2008、2010、OWASP AppSec APAC 2014他講演多数。
OWASP Kansai Chapter Leader / OWASP Japan Board member
[CB16] 難解なウェブアプリケーションの脆弱性 by Andrés RianchoCODE BLUE
この講演では、難解なWebアプリケーションの脆弱性を詳しく見せる。これらの脆弱性は多くのセキュリティ・コンサルタントの簡易な脆弱性診断では見逃される可能性があり、リモートコード実行、認証バイパスや、実際にお金を支払うことなくPayPal経由でお店の商品を購入されてしまうことに繋がる。
SQLインジェクションは廃れたが、私は気にしない。null、nil、NULLの世界や、noSQLインジェクション、通話音声傍受に繋がるHostヘッダ・インジェクション、PayPalの二重支払い、RailsのMessage Verifierのリモートコード実行の世界を探検しようではないか。
--- アンドレス・リアンチョ Andres Riancho
アンドレス・リアンチョはアプリケーション・セキュリティの専門家であり、現在はコミュニティを前提としたオープン・ソースのw3afプロジェクトを率いていて、世界中の企業に徹底的なWebアプリケーション侵入テストサービスを提供している。
研究の分野では、3comやISSからのIPS装置に対し重大な脆弱性を発見していて、元雇用者のひとりが行ったSAP研究に貢献し、何百ものWebアプリケーションに対して脆弱性を報告している。
彼が注力しているものは常に、Webアプリケーションのセキュリティ分野である。それは彼が開発したw3afであり、侵入テスターやセキュリティ・コンサルタントたちに幅広く使われるWebアプリケーション攻撃、Auditフレームワークだ。アンドレスは、BlackHat(米国と欧州)、SEC-T(スウェーデン)、DeepSec(オーストリア)、OWASP World C0n(米国)、CanSecWest(カナダ)、PacSecWest(日本)、T2(フィンランド)、Ekoparty(ブエノスアイレス)など、世界中の多くのセキュリティ会議において講演をし、トレーニングの場を設けてきた。
アンドレスは、自動Webアプリケーション脆弱性の検知と開発を更に研究するため、2009年にWebセキュリティに特化したコンサルタント会社Bonsai Information Securityを設立している。
[CB16] Electron - Build cross platform desktop XSS, it’s easier than you thin...CODE BLUE
Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するためのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することでWebアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能にしている反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日までに著名なElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報告している。
本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題点を整理して理解することを目的にしている。
--- はせがわ ようすけYosuke Hasegawa
株式会社セキュアスカイ・テクノロジー常勤技術顧問。
Internet Explorer、Mozilla FirefoxをはじめWebアプリケーションに関する多数の脆弱性を発見。 Black Hat Japan 2008、韓国POC 2008、2010、OWASP AppSec APAC 2014他講演多数。
OWASP Kansai Chapter Leader / OWASP Japan Board member
[CB16] 難解なウェブアプリケーションの脆弱性 by Andrés RianchoCODE BLUE
この講演では、難解なWebアプリケーションの脆弱性を詳しく見せる。これらの脆弱性は多くのセキュリティ・コンサルタントの簡易な脆弱性診断では見逃される可能性があり、リモートコード実行、認証バイパスや、実際にお金を支払うことなくPayPal経由でお店の商品を購入されてしまうことに繋がる。
SQLインジェクションは廃れたが、私は気にしない。null、nil、NULLの世界や、noSQLインジェクション、通話音声傍受に繋がるHostヘッダ・インジェクション、PayPalの二重支払い、RailsのMessage Verifierのリモートコード実行の世界を探検しようではないか。
--- アンドレス・リアンチョ Andres Riancho
アンドレス・リアンチョはアプリケーション・セキュリティの専門家であり、現在はコミュニティを前提としたオープン・ソースのw3afプロジェクトを率いていて、世界中の企業に徹底的なWebアプリケーション侵入テストサービスを提供している。
研究の分野では、3comやISSからのIPS装置に対し重大な脆弱性を発見していて、元雇用者のひとりが行ったSAP研究に貢献し、何百ものWebアプリケーションに対して脆弱性を報告している。
彼が注力しているものは常に、Webアプリケーションのセキュリティ分野である。それは彼が開発したw3afであり、侵入テスターやセキュリティ・コンサルタントたちに幅広く使われるWebアプリケーション攻撃、Auditフレームワークだ。アンドレスは、BlackHat(米国と欧州)、SEC-T(スウェーデン)、DeepSec(オーストリア)、OWASP World C0n(米国)、CanSecWest(カナダ)、PacSecWest(日本)、T2(フィンランド)、Ekoparty(ブエノスアイレス)など、世界中の多くのセキュリティ会議において講演をし、トレーニングの場を設けてきた。
アンドレスは、自動Webアプリケーション脆弱性の検知と開発を更に研究するため、2009年にWebセキュリティに特化したコンサルタント会社Bonsai Information Securityを設立している。
11. Web がプラットフォーム
プラットフォーム
としての Web
Web がプラットフォームになれば業界標準技術でどこでも動作するアプリ環境に
12. Mozilla Marketplace
デバイス・OS 横断マーケット
Web をアプリマーケットに
Firefox 限定とかじゃない
Web アプリの事前登録受付中
今年中に正式リリースを予定
http://hacks.mozilla.org/2012/02/mozillamarketplace-open-for-app-submissions/
17. Semantic Elements CSS Transforms ECMA5th
Multimedia Elements CSS Animations WebM Codec
Canvas 2D API SVG WebGL
Forms WOFF (Web Fonts) WebCL
Offline Events Event Listener (DOM) Typed Array
Drag & Drop API XHR Level 2 Audio Data API
Web Storage Indexed DB SQL DB (obsolate)
HTML5 Parser File API River Trail
Web Workers Geolocation SPDY
Microdata Device Orientation ContentSecurityPolicy
Web Sockets API Server-Sent Events Web Socket Protocol
Web RTC Battery Status ICC Color Profile
18. Semantic Elements CSS Transforms ECMA5th
Multimedia Elements CSS Animations WebM Codec
Canvas 2D API SVG WebGL
Forms WOFF (Web Fonts) WebCL
Offline Events Event Listener (DOM) Typed Array
Internet Explorer
Drag & Drop API XHR Level 2 Audio Data API
Web Storage Indexed DB SQL DB (obsolate)
HTML5 Parser File API River Trail
Web Workers Geolocation SPDY
Microdata Device Orientation ContentSecurityPolicy
Web Sockets API Server-Sent Events Web Socket Protocol
Web RTC 点線は標準非搭載や限定的実装
Battery Status ICC Color Profile
19. Semantic Elements CSS Transforms ECMA5th
Multimedia Elements CSS Animations WebM Codec
Canvas 2D API SVG WebGL
Forms WOFF (Web Fonts) WebCL
Offline Events Event Listener (DOM) Typed Array
Chrome
Drag & Drop API XHR Level 2 Audio Data API
Web Storage Indexed DB SQL DB (obsolate)
HTML5 Parser File API River Trail
Web Workers Geolocation SPDY
Microdata Device Orientation ContentSecurityPolicy
Web Sockets API Server-Sent Events Web Socket Protocol
Web RTC 点線は標準非搭載や限定的実装
Battery Status ICC Color Profile
20. Semantic Elements CSS Transforms ECMA5th
Multimedia Elements CSS Animations WebM Codec
Canvas 2D API SVG WebGL
Forms WOFF (Web Fonts) WebCL
Offline Events Event Listener (DOM) Typed Array
Firefox
Drag & Drop API XHR Level 2 Audio Data API
Web Storage Indexed DB SQL DB (obsolate)
HTML5 Parser File API River Trail
Web Workers Geolocation SPDY
Microdata Device Orientation ContentSecurityPolicy
Web Sockets API Server-Sent Events Web Socket Protocol
Web RTC 点線は標準非搭載や限定的実装
Battery Status ICC Color Profile
25. 実装済みの Web API
モバイル端末の基本機能中心
SMS, Telephony
Settings, Contacts
Vibration, Pointer Lock
Battery Status (電池や充電)
Resource Lock (スリープ禁止)
Network Information
実装がまだ一部不完全な API も含む
26. 現在実装中の Web API
WebRTC (Camera, P2P など含む)
Open Web Apps (アプリ管理)
Idel, Power Management
Mobile Connection,
WiFi Information (無線情報)
Light Sensor (環境光センサー),
Proximity Sensor (近接センサー)
...and more...
27. 実装予定の Web API
Device Storage
USB file-reading も
低レベルハードウェア
Bluetooth, USB, NFC
WebSocket 的になりそう
...and more...
ネイティブアプリにできることは何でも可能に
29. Boot to Gecko
Gecko を起動する OS
Linux Kernel 上に Gecko を
Java VM などの中間レイヤなし
Web 技術が「ネイティブ」に
HTML5, JavaScript, Web API...
Gecko は Firefox の描画エンジン、WebRT = Web Runtime