Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Web Messaging のセキュリティ - DOM Invaderを添えて - / We...
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
okuken
September 30, 2021
Technology
2.9k
0
Share
Web Messaging のセキュリティ - DOM Invaderを添えて - / Web Messaging Security
Web Messaging のセキュリティについての簡単な説明と、デモを行います。
デモで使用するコードはGitHubで公開しています。
okuken
September 30, 2021
More Decks by okuken
See All by okuken
全集中Burp extension ISTE勉強会 第1回 / Burp ISTE study 01
okuken
0
480
全集中Burp extension ISTE v0.5.0 ー Request chain の躍進 / Burp extension ISTE v050
okuken
0
430
DOM Invader - prototype pollution対応の衝撃 - / DOM Invader - prototype pollution
okuken
0
850
npm Security ー サプライチェーン攻撃の観点から ー
okuken
1
690
全集中 Burp extension ISTE リリース1周年記念 - 振り返り - / Burp extension ISTE 1st Anniversary
okuken
0
550
Dangerous usage of JNDI
okuken
0
470
全集中 Burp extension ISTE v0.4リリース / Burp extension ISTE v0.4
okuken
0
490
DOM Invader - Burp Suiteの新機能でJavaScriptに立ち向かう - / DOM Invader
okuken
0
1.7k
#BurpISTEで!SECCON Beginners CTF 2021 Web問に全集中した話 / ctf4b 2021 with ISTE
okuken
1
590
Other Decks in Technology
See All in Technology
Oracle Cloud Infrastructure:2026年4月度サービス・アップデート
oracle4engineer
PRO
0
240
サービスの信頼性を高めるため、形骸化した「プロダクションミーティング」を立て直すまでの取り組み
stefafafan
0
130
生成AIが変える SaaS の競争原理と弁護士ドットコムのプロダクト戦略
bengo4com
1
3.1k
色を視る
yuzneri
0
300
コミュニティ・勉強会を作るのは目的じゃない
ohmori_yusuke
0
280
国内外の生成AIセキュリティの最新動向 & AIガードレール製品「chakoshi」のご紹介 / Latest Trends in Generative AI Security (Domestic & International) & Introduction to AI Guardrail Product "chakoshi"
nttcom
4
1.6k
雑談は、センサーだった
bitkey
PRO
0
130
独断と偏見で試してみる、 シングル or マルチエージェント どっちがいいの?
shichijoyuhi
1
220
AndroidアプリとCopilot Studioの統合
nakasho
0
190
AIが盛んな時代に 技術記事を書き始めて起きた私の中での小さな変化
peintangos
0
340
ファインディの事業拡大を支える 拡張可能なデータ基盤へのリアーキテクチャ
hiracky16
0
680
AIはハッカーを減らすのか、増やすのか?──現役ホワイトハッカーから見るAI時代のリアル【MEGU-Meet】
cscengineer
PRO
0
240
Featured
See All Featured
YesSQL, Process and Tooling at Scale
rocio
174
15k
GraphQLの誤解/rethinking-graphql
sonatard
75
12k
Build The Right Thing And Hit Your Dates
maggiecrowley
39
3.1k
Fashionably flexible responsive web design (full day workshop)
malarkey
408
66k
Introduction to Domain-Driven Design and Collaborative software design
baasie
1
760
How to Think Like a Performance Engineer
csswizardry
28
2.6k
Winning Ecommerce Organic Search in an AI Era - #searchnstuff2025
aleyda
1
2k
The Straight Up "How To Draw Better" Workshop
denniskardys
239
140k
Self-Hosted WebAssembly Runtime for Runtime-Neutral Checkpoint/Restore in Edge–Cloud Continuum
chikuwait
0
500
AI Search: Where Are We & What Can We Do About It?
aleyda
0
7.4k
The untapped power of vector embeddings
frankvandijk
2
1.7k
Large-scale JavaScript Application Architecture
addyosmani
515
110k
Transcript
Web Messaging のセキュリティ -DOM Invader を添えて- @okuken3 2021.09.30 第11回 初心者のためのセキュリティ勉強会
0. 自己紹介 1. Web Messaging とは 2. Web Messaging のセキュリティ
3. デモ 4. 参考サイト Agenda
NO IMAGE Kenichi Okuno Twitter: @okuken3 略歴 1. SIerで色々 2.
業務パッケージベンダで開発 3. Web事業会社でプロダクトセキュリティチーム立上げ 4. 情報セキュリティサービス会社でWeb脆弱性診断 最近の出来事 ・家庭内RPA 1ネタ運用開始 ・ISTE v0.4.0 近日リリース予定
1. Web Messaging とは ✓ HTML5で導入されたAPI ✓ 異なるOriginのWindowオブジェクト間で メッセージのやりとりができる
1. Web Messaging とは iframe https://a.example.com https://a.example.com https://b.example.com message message
2. Web Messaging のセキュリティ ✓ 想定内の相手(Origin)とだけやりとりする ・送信時:送信先のOriginを指定する ・受信時:送信元のOriginを確認する ✓ 悪意を前提としてメッセージを扱う
・相手のサイトが攻撃者の手に落ちている可能性も考慮する
3. デモ ・Cross-document messaging https://github.com/okuken/sectest_html5/tree/main/01_cross-document_messaging ・Channel messaging https://github.com/okuken/sectest_html5/tree/main/02_channel_messaging
(補足) DOM Invader の機能 DOM-based XSS 関連 ・カナリアによるシンク/ソース検出 ・カナリアの自動挿入 ・イベントの自動発火
・リダイレクト防止 Web Messaging 関連 ・postMessage のキャプチャ ・脆弱性スキャン ・カナリアの自動挿入 ・Messageのリピート送信 ・Messageの自動生成/送信 ・Originのスプーフィング DOM Invader 本日はこちらを使用
None
None
4. 参考サイト https://html.spec.whatwg.org/multipage/web-messaging.html https://developer.mozilla.org/ja/docs/Web/API/Window/postMessage https://developer.mozilla.org/ja/docs/Web/API/MessageChannel https://cheatsheetseries.owasp.org/cheatsheets/HTML5_Security_Cheat_Sheet.html https://owasp.org/www-project-web-security-testing-guide/stable/4- Web_Application_Security_Testing/11-Client-side_Testing/11-Testing_Web_Messaging
None
SiteGround - Reliable hosting with speed, security, and support you can count on.
okuken
oracle4engineer
stefafafan
bengo4com
yuzneri
ohmori_yusuke
nttcom
bitkey
shichijoyuhi
nakasho
peintangos
hiracky16
cscengineer
rocio
sonatard
maggiecrowley
malarkey
baasie
csswizardry
aleyda
denniskardys
chikuwait
frankvandijk
addyosmani
