齿厂厂の倾向と対策
1 like925 views
CAMPHOR- 定例LTの発表資料です.XSS とは何かという解説と,それを防ぐための手法を2つ紹介します.
1 of 10
Download to read offline
Ad
Recommended
奥别产セキュリティ入门(虫蝉蝉)
奥别产セキュリティ入门(虫蝉蝉)KageShiron
?
Webセキュリティ入門(XSS)
Othlotech #11
https://othlotech.connpass.com/event/52273/20181117-一般的な脆弱性の概要?対策を知り、窜础笔で见つけてみよう!
20181117-一般的な脆弱性の概要?対策を知り、窜础笔で见つけてみよう!OWASP Nagoya
?
20181117 NKC DAY 2018 1日目 勉強会
一般的な脆弱性の概要?対策を知り、ZAPで見つけてみよう!ウェブセキュリティの常识
ウェブセキュリティの常识Hiroshi Tokumaru
?
セキュリティ?ミニキャンプ in 近畿 2017(神戸)における講演です
http://www.security-camp.org/minicamp/kobe2017.html奥别产フレームワーク齿厂厂対策の自动化
奥别产フレームワーク齿厂厂対策の自动化Yoshihiro Ura
?
セキュリティキャンプ中央大会2012 webセキュリティクラス
チーム「わく□」
<del>Python / スリッパ</del>
@kyubuns / @lmt_swallow安全な奥别产アプリ构筑1回
安全な奥别产アプリ构筑1回Project Samurai
?
安全な奥别产アプリ构筑1回。XSSについて実習を行いました。Morning Project Samurai 第2回(2014/6/7)定例ミーティングの資料です。CSP Lv.2の話
CSP Lv.2の話Yu Yagihashi
?
#ssmjp 2014/10 XSSの運用の話
間違いなどありましたら @yagihashoo まで。
## 10/28 9:26追記
nonce-value、規格上はBase64だよ!という指摘をいただいたのでスライド18-19を修正しました。
詳細は以下をご覧ください。
http://www.w3.org/TR/CSP2/#source-list-valid-nonces
## 10/29 15:00追記
Path matchingの例示について間違いがあったためスライド14を修正しました。ライブコーディングとデモで理解する奥别产セキュリティの基础
ライブコーディングとデモで理解する奥别产セキュリティの基础Takahisa Kishiya
?
2013/01/26 の LOCAL DEVELOPER DAY ’13 / Infra & Security で使用したスライドです。機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -Isao Takaesu
?
workshop : AISECjp
presenter : Isao Takaesu.
date : 2016/07/25libinjection : SQLi から XSS へ by ニック?ガルブレス
libinjection : SQLi から XSS へ by ニック?ガルブレスCODE BLUE
?
SQLi攻撃の迅速で正確な検知をする libinjection は Black Hat USA 2012 で紹介された。 2年たった現在、そのアルゴリズムは多くのオープンソースや専用WAFsやハニーポットで利用されている。 本講演では、XSSを検知する新しいアルゴリズムを紹介する。 SQLi 同様、libinjection アルゴリズムは正規表現を使わず、とても速く、誤検出率が少ない。 そして、オリジナルの libinjection アルゴリズムのように、GitHubで無償の使用許諾で入手できる。
ニック?ガルブレス - Nick Galbreath
ニック?ガルブレス氏は、オンライン広告取引システム開発の世界的リーディング企業である IPONWEB の技術担当副社長である。 IPONWEB 以前は、セキュリティ?詐欺?認証?その他大企業的機能を扱う監視グループ Etsyの技術部長。 Etsy 以前は彼はソーシャルとeコマース企業に所属し、それらには Right Media、UPromise、Friendster、Open Marketなどがある。 彼の著書に「Cryptography for Internet and Database Applications (Wiley)」がある。 彼は、Black Hat、Def Con、DevOpsDays、OWASP関連イベントでの講演経験を持つ。 ボストン大学の数学修士を保有、現在は東京在住である。
講演歴)
2013年
- LASCON http://lascon.org/about/, 基調講演者, 米国?テキサス州オースティン
- DevOpsDays 日本?東京
- Security Development Conference (Microsoft), 米国?カリフォルニア州サンフランシスコ
- DevOpsDays 米国?テキサス州オースティン
- Positive Hack Days http://phdays.com, ロシア?モスクワ
- RSA USA, San Francisco, CA, 講師とパネリスト
2012年
- DefCon 米国?ネバダ州ラスベガス
- BlackHat USA 米国? ネバダ州ラスベガス
- その他これからHTML5を書く人のためのセキュリティ - HTML5など勉強会
これからHTML5を書く人のためのセキュリティ - HTML5など勉強会yoshinori matsumoto
?
これからHTML5を書く人のためのセキュリティ
2012年7月21日
HTML5など勉強会More Related Content
Similar to 齿厂厂の倾向と対策 (20)
ウェブセキュリティの常识
ウェブセキュリティの常识Hiroshi Tokumaru
?
セキュリティ?ミニキャンプ in 近畿 2017(神戸)における講演です
http://www.security-camp.org/minicamp/kobe2017.html奥别产フレームワーク齿厂厂対策の自动化
奥别产フレームワーク齿厂厂対策の自动化Yoshihiro Ura
?
セキュリティキャンプ中央大会2012 webセキュリティクラス
チーム「わく□」
<del>Python / スリッパ</del>
@kyubuns / @lmt_swallow安全な奥别产アプリ构筑1回
安全な奥别产アプリ构筑1回Project Samurai
?
安全な奥别产アプリ构筑1回。XSSについて実習を行いました。Morning Project Samurai 第2回(2014/6/7)定例ミーティングの資料です。CSP Lv.2の話
CSP Lv.2の話Yu Yagihashi
?
#ssmjp 2014/10 XSSの運用の話
間違いなどありましたら @yagihashoo まで。
## 10/28 9:26追記
nonce-value、規格上はBase64だよ!という指摘をいただいたのでスライド18-19を修正しました。
詳細は以下をご覧ください。
http://www.w3.org/TR/CSP2/#source-list-valid-nonces
## 10/29 15:00追記
Path matchingの例示について間違いがあったためスライド14を修正しました。ライブコーディングとデモで理解する奥别产セキュリティの基础
ライブコーディングとデモで理解する奥别产セキュリティの基础Takahisa Kishiya
?
2013/01/26 の LOCAL DEVELOPER DAY ’13 / Infra & Security で使用したスライドです。機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -Isao Takaesu
?
workshop : AISECjp
presenter : Isao Takaesu.
date : 2016/07/25libinjection : SQLi から XSS へ by ニック?ガルブレス
libinjection : SQLi から XSS へ by ニック?ガルブレスCODE BLUE
?
SQLi攻撃の迅速で正確な検知をする libinjection は Black Hat USA 2012 で紹介された。 2年たった現在、そのアルゴリズムは多くのオープンソースや専用WAFsやハニーポットで利用されている。 本講演では、XSSを検知する新しいアルゴリズムを紹介する。 SQLi 同様、libinjection アルゴリズムは正規表現を使わず、とても速く、誤検出率が少ない。 そして、オリジナルの libinjection アルゴリズムのように、GitHubで無償の使用許諾で入手できる。
ニック?ガルブレス - Nick Galbreath
ニック?ガルブレス氏は、オンライン広告取引システム開発の世界的リーディング企業である IPONWEB の技術担当副社長である。 IPONWEB 以前は、セキュリティ?詐欺?認証?その他大企業的機能を扱う監視グループ Etsyの技術部長。 Etsy 以前は彼はソーシャルとeコマース企業に所属し、それらには Right Media、UPromise、Friendster、Open Marketなどがある。 彼の著書に「Cryptography for Internet and Database Applications (Wiley)」がある。 彼は、Black Hat、Def Con、DevOpsDays、OWASP関連イベントでの講演経験を持つ。 ボストン大学の数学修士を保有、現在は東京在住である。
講演歴)
2013年
- LASCON http://lascon.org/about/, 基調講演者, 米国?テキサス州オースティン
- DevOpsDays 日本?東京
- Security Development Conference (Microsoft), 米国?カリフォルニア州サンフランシスコ
- DevOpsDays 米国?テキサス州オースティン
- Positive Hack Days http://phdays.com, ロシア?モスクワ
- RSA USA, San Francisco, CA, 講師とパネリスト
2012年
- DefCon 米国?ネバダ州ラスベガス
- BlackHat USA 米国? ネバダ州ラスベガス
- その他これからHTML5を書く人のためのセキュリティ - HTML5など勉強会
これからHTML5を書く人のためのセキュリティ - HTML5など勉強会yoshinori matsumoto
?
これからHTML5を書く人のためのセキュリティ
2012年7月21日
HTML5など勉強会齿厂厂の倾向と対策
- 3. 齿厂厂とはなにか
- 4. XSSとは ● Webアプリに任意のスクリプトを実行させる攻撃 ● ユーザーの入力をエスケープしないと起こる ○ 現代のテンプレートエンジンは自動でエスケープする ■ 生PHPを使うとエスケープされないっぽい ○ エスケープを切りたいのはどういうとき? ■ よくあるケース:ユーザーにマークアップさせたいとき
- 5. XSSのデモ ● <h2>タイトル</h2> ● <script> alert(‘こんにちわ!’); </script> ● <script> while(true){ alert(‘こんにちわ!’)}; </script>
- 6. XSSの脅威 ● POSTリクエストも送れる ○ ログイン状態で好きな操作ができる ○ 例えばメッセージを読むと送金のリクエストが送信させられ るなど
- 7. 齿厂厂の対策
- 8. エスケープしろ!!! ● フレームワークを使ってWebアプリを作る ○ フレームワークのベストプラクティスを守れば基本は安全 になる ○ 生PHPをやめろ ● ユーザーにHTMLを直書きさせるのは諦める
- 9. Content-Security-Policy https://infosec.mozilla.org/guidelines/web_security#content-security-policy ● Content-Security-Policy: default-src 'self'; ○ HTTPヘッダかmetaタグで指定 ○ 自ドメイン以外からのファイル読み込みをreject ○ inline scriptを無効化 ○ XSSができなくなる! ● デモ
- 10. Mozilla Observatory ● https://observatory.mozilla.org/ ○ セキュリティの問題点を指摘してくれる ● 僕の質問箱の例 ○ A+ !!!