Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Web Messaging のセキュリティ - DOM Invaderを添えて - / We...

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for okuken okuken
September 30, 2021
Technology
2.9k
0

Web Messaging のセキュリティ - DOM Invaderを添えて - / Web Messaging Security

Web Messaging のセキュリティについての簡単な説明と、デモを行います。
デモで使用するコードはGitHubで公開しています。

Avatar for okuken

okuken

September 30, 2021

More Decks by okuken

See All by okuken
全集中Burp extension ISTE勉強会 第1回 / Burp ISTE study 01
Avatar for okuken okuken
0
490
全集中Burp extension ISTE v0.5.0 ー Request chain の躍進 / Burp extension ISTE v050
Avatar for okuken okuken
0
450
DOM Invader - prototype pollution対応の衝撃 - / DOM Invader - prototype pollution
Avatar for okuken okuken
0
860
npm Security ー サプライチェーン攻撃の観点から ー
Avatar for okuken okuken
1
700
全集中 Burp extension ISTE リリース1周年記念 - 振り返り - / Burp extension ISTE 1st Anniversary
Avatar for okuken okuken
0
560
Dangerous usage of JNDI
Avatar for okuken okuken
0
480
全集中 Burp extension ISTE v0.4リリース / Burp extension ISTE v0.4
Avatar for okuken okuken
0
500
DOM Invader - Burp Suiteの新機能でJavaScriptに立ち向かう - / DOM Invader
Avatar for okuken okuken
0
1.7k
#BurpISTEで!SECCON Beginners CTF 2021 Web問に全集中した話 / ctf4b 2021 with ISTE
Avatar for okuken okuken
1
600

Other Decks in Technology

See All in Technology
AWSシリコン最前線 〜AI時代のチップ選択を読み解く〜
Avatar for Hiroshi Tokoyo htokoyo
2
410
Bucharest Tech Week 2026 - Reinventing testing practices in the AI era
Avatar for Eric Deandrea edeandrea
PRO
1
140
MIERUNE JCT 発表資料「宇宙から伊能忠敬ごっこ」
Avatar for じゃらしまる syuchimu
0
200
失敗を経て、Harness Engineering で 大切にしたいことを考える / Learning from Failure: What Matters in Harness Engineering
Avatar for 株式会社ビットキー / Bitkey Inc. bitkey
PRO
1
290
やさしいA2A入門
Avatar for みのるん minorun365
PRO
11
1.7k
実装は速くなった、レビューはどうする? ― 自身のレビューをAIで再現させるサーヴァントエンジニアリングのすゝめ / Implementation got faster. So what about reviews? — An invitation to Servant Engineering: Recreating your own code reviews with AI
Avatar for nrs nrslib
8
4.6k
フロンティアAIのゲート化と地政学リスク
Avatar for 長津孝輔 nagatsu
0
110
Oracle AI Database@Google Cloud:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
6
1.5k
エンジニアリング戦略の作り方 / Crafting Engineering Strategy
Avatar for iwashi iwashi86
19
6.4k
AI駆動開発が変える、大規模開発の前提 ーHuman in the Loop から Human on the Loop へ / AIE2026
Avatar for Visional Engineering & Design visional_engineering_and_design
30
24k
How Timee Delivers Day 1 Production Ready LLM Features
Avatar for tomoyks tomoyks
0
110
RSA暗号を手計算したくなること、ありますよね?? (20260615_orestudy6_rsa)
Avatar for Koki Senda thousanda
0
190

Featured

See All Featured
How to Think Like a Performance Engineer
Avatar for Harry Roberts csswizardry
28
2.6k
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1033
470k
Test your architecture with Archunit
Avatar for Yoan thirion
1
2.3k
The Mindset for Success: Future Career Progression
Avatar for Greg Gifford greggifford
PRO
0
360
Embracing the Ebb and Flow
Avatar for Simon Collison colly
88
5.1k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
141
35k
The Curious Case for Waylosing
Avatar for Cassini Nazir cassininazir
1
380
Why Mistakes Are the Best Teachers: Turning Failure into a Pathway for Growth
Avatar for Umar Saidu Auna auna
0
160
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
97
6.7k
世界の人気アプリ100個を分析して見えたペイウォール設計の心得
Avatar for Akihiro Kokubo akihiro_kokubo
PRO
71
40k
[SF Ruby Conf 2025] Rails X
Avatar for Vladimir Dementyev palkan
2
1.1k
Practical Orchestrator
Avatar for Shlomi Noach shlominoach
191
11k

Transcript

  1. Web Messaging のセキュリティ -DOM Invader を添えて- @okuken3 2021.09.30 第11回 初心者のためのセキュリティ勉強会

  2. 0. 自己紹介 1. Web Messaging とは 2. Web Messaging のセキュリティ

    3. デモ 4. 参考サイト Agenda

  3. NO IMAGE Kenichi Okuno  Twitter: @okuken3 略歴  1. SIerで色々  2.

    業務パッケージベンダで開発  3. Web事業会社でプロダクトセキュリティチーム立上げ  4. 情報セキュリティサービス会社でWeb脆弱性診断 最近の出来事  ・家庭内RPA 1ネタ運用開始  ・ISTE v0.4.0 近日リリース予定

  4. 1. Web Messaging とは  ✓ HTML5で導入されたAPI  ✓ 異なるOriginのWindowオブジェクト間で    メッセージのやりとりができる

  5. 1. Web Messaging とは iframe https://a.example.com https://a.example.com https://b.example.com message message

  6. 2. Web Messaging のセキュリティ  ✓ 想定内の相手(Origin)とだけやりとりする    ・送信時:送信先のOriginを指定する    ・受信時:送信元のOriginを確認する  ✓ 悪意を前提としてメッセージを扱う

       ・相手のサイトが攻撃者の手に落ちている可能性も考慮する

  7. 3. デモ ・Cross-document messaging https://github.com/okuken/sectest_html5/tree/main/01_cross-document_messaging ・Channel messaging https://github.com/okuken/sectest_html5/tree/main/02_channel_messaging

  8. (補足) DOM Invader の機能 DOM-based XSS 関連  ・カナリアによるシンク/ソース検出  ・カナリアの自動挿入  ・イベントの自動発火

     ・リダイレクト防止 Web Messaging 関連  ・postMessage のキャプチャ  ・脆弱性スキャン  ・カナリアの自動挿入  ・Messageのリピート送信  ・Messageの自動生成/送信  ・Originのスプーフィング DOM Invader 本日はこちらを使用
  9. None
  10. None

  11. 4. 参考サイト https://html.spec.whatwg.org/multipage/web-messaging.html https://developer.mozilla.org/ja/docs/Web/API/Window/postMessage https://developer.mozilla.org/ja/docs/Web/API/MessageChannel https://cheatsheetseries.owasp.org/cheatsheets/HTML5_Security_Cheat_Sheet.html https://owasp.org/www-project-web-security-testing-guide/stable/4- Web_Application_Security_Testing/11-Client-side_Testing/11-Testing_Web_Messaging

  12. None