金利0無利息キャッシング – キャッシングできます

 | 

2014-04-04

最近の発表しました

19:03 | 最近の発表しました - 金利0無利息キャッシング – キャッシングできます を含むブックマーク はてなブックマーク - 最近の発表しました - 金利0無利息キャッシング – キャッシングできます

AVTokyo2013.5

Flash based XSSの具体的な事例について、皆さんがよく知っている身近なサイトを例にあげて解説しました。

資料

具体的なサイト名については伏せてあります。なお、完全に個人の活動であり、所属している組織の業務とは一切関係がありませんし、職場でアダルトサイトは閲覧していません。

OWASP AppSec APAC 2014

はせがわさんからお誘いがあって、XSS Allstars from Japanという枠で発表しました。「みんなkinugawamasatoを見に来るんで、僕らは前座なんで、まあ気軽にゆるい感じで」とネタが被らないように打ち合わせだけして皆好きなことを喋るといったコーナーでした。

スライドはこのへんから見れるっぽいです

肉はこちらから見れます。


発表時間に間に合うように家を出たのですが、道に迷ってしまってかなりギリギリでの到着となりご心配をおかけしました。また、スライドの提出も遅れましてスタッフの方々にもご心配をおかけしましたが、こちらについてはTAKESAKOさんのほうがギリギリだったそうです。

補足

self XSSまで含めると直っていない事例が結構あると思います。self XSSをどの程度の脅威と見なすのかは場合によりけりなのですが、例えば攻撃コードをブログパーツやビデオの埋め込みコード風にして「HTML編集モードでコピペしてください」といった風に誘導すれば、怪しまれずに引っかかる人が多いんじゃないかと思います。

それから質疑応答で出たのですが「そもそもHTML制限せずに自由に書かせる要件がある場合にはどうすればよいのか?」というのがありました。これはブログサービスやCMSなどで、デザインやテンプレートを高度にカスタマイズしたり、scriptを自由に書かせたいようなケースはあると思います。そういった場合にはドメインを分けると良いです。パスワードを入力してログインしたり、管理画面が表示されるドメインと、ユーザーが自由にHTMLを書くことが出来るドメインは、そもそも分けてしまいましょう。ドメインcookieのポリシーを最初に間違えると後から変更するのが面倒くさくなるので注意が必要です。

KeyonKeyon 2016/05/02 04:07 What a neat aricelt. I had no inkling.

ゲスト



トラックバック - http://subtech.g.hatena.ne.jp/mala/20140404
 |