Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Web Messaging のセキュリティ - DOM Invaderを添えて - / We...

Avatar for okuken okuken
September 30, 2021
Technology
0
2.8k

Web Messaging のセキュリティ - DOM Invaderを添えて - / Web Messaging Security

Web Messaging のセキュリティについての簡単な説明と、デモを行います。
デモで使用するコードはGitHubで公開しています。

Avatar for okuken

okuken

September 30, 2021
Tweet

More Decks by okuken

See All by okuken
全集中Burp extension ISTE勉強会 第1回 / Burp ISTE study 01
Avatar for okuken okuken
0
410
全集中Burp extension ISTE v0.5.0 ー Request chain の躍進 / Burp extension ISTE v050
Avatar for okuken okuken
0
390
DOM Invader - prototype pollution対応の衝撃 - / DOM Invader - prototype pollution
Avatar for okuken okuken
0
810
npm Security ー サプライチェーン攻撃の観点から ー
Avatar for okuken okuken
1
640
全集中 Burp extension ISTE リリース1周年記念 - 振り返り - / Burp extension ISTE 1st Anniversary
Avatar for okuken okuken
0
510
Dangerous usage of JNDI
Avatar for okuken okuken
0
430
全集中 Burp extension ISTE v0.4リリース / Burp extension ISTE v0.4
Avatar for okuken okuken
0
450
DOM Invader - Burp Suiteの新機能でJavaScriptに立ち向かう - / DOM Invader
Avatar for okuken okuken
0
1.5k
#BurpISTEで!SECCON Beginners CTF 2021 Web問に全集中した話 / ctf4b 2021 with ISTE
Avatar for okuken okuken
1
550

Other Decks in Technology

See All in Technology
【Grafana Meetup Japan #6】Grafanaをリバプロ配下で動かすときにやること ~ Grafana Liveってなんだ ~
Avatar for よしたけ yoshitake945
0
200
イオン店舗一覧ページのパフォーマンスチューニング事例 / Performance tuning example for AEON store list page
Avatar for AEON aeonpeople
2
380
Jaws-ug名古屋_LT資料_20250829
Avatar for Azoo azoo2024
3
190
コスト削減の基本の「キ」~ コスト消費3大リソースへの対策 ~
Avatar for Makky12 smt7174
2
290
Grafana MCPサーバーによるAIエージェント経由でのGrafanaダッシュボード動的生成
Avatar for 濱田孝治 hamadakoji
1
850
ヘブンバーンズレッドのレンダリングパイプライン刷新
Avatar for gree_tech gree_tech
PRO
0
380
攻撃と防御で実践するプロダクトセキュリティ演習~導入パート~
Avatar for Recruit recruitengineers
PRO
3
1.6k
PRDの正しい使い方 ~AI時代にも効く思考・対話・成長ツールとして~
Avatar for PERSOL CAREER Dev | techtekt techtekt
PRO
0
100
Nstockの一人目エンジニアが 3年間かけて向き合ってきた セキュリティのこととこれから〜あれから半年〜
Avatar for わだよし yo41sawada
0
110
TypeScript入門
Avatar for Recruit recruitengineers
PRO
33
11k
【 LLMエンジニアがヒューマノイド開発に挑んでみた 】 - 第104回 Machine Learning 15minutes! Hybrid
Avatar for soneo1127 soneo1127
0
210
そのコンポーネント、サーバー?クライアント?App Router開発のモヤモヤを可視化する補助輪
Avatar for Makoto Tateno makotot
4
770

Featured

See All Featured
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
173
14k
The Art of Programming - Codeland 2020
Avatar for Erika Heidi erikaheidi
55
13k
Docker and Python
Avatar for Tania Allard trallard
45
3.5k
Documentation Writing (for coders)
Avatar for Carmen Chung carmenintech
73
5k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
Avatar for soudai sone soudai
PRO
185
54k
The Power of CSS Pseudo Elements
Avatar for Geoffrey Crofte geoffreycrofte
77
5.9k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
8
910
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
110
20k
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.4k
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.4k
Automating Front-end Workflow
Avatar for Addy Osmani addyosmani
1370
200k
Distributed Sagas: A Protocol for Coordinating Microservices
Avatar for Caitie McCaffrey caitiem20
333
22k

Transcript

  1. Web Messaging のセキュリティ -DOM Invader を添えて- @okuken3 2021.09.30 第11回 初心者のためのセキュリティ勉強会

  2. 0. 自己紹介 1. Web Messaging とは 2. Web Messaging のセキュリティ

    3. デモ 4. 参考サイト Agenda

  3. NO IMAGE Kenichi Okuno  Twitter: @okuken3 略歴  1. SIerで色々  2.

    業務パッケージベンダで開発  3. Web事業会社でプロダクトセキュリティチーム立上げ  4. 情報セキュリティサービス会社でWeb脆弱性診断 最近の出来事  ・家庭内RPA 1ネタ運用開始  ・ISTE v0.4.0 近日リリース予定

  4. 1. Web Messaging とは  ✓ HTML5で導入されたAPI  ✓ 異なるOriginのWindowオブジェクト間で    メッセージのやりとりができる

  5. 1. Web Messaging とは iframe https://a.example.com https://a.example.com https://b.example.com message message

  6. 2. Web Messaging のセキュリティ  ✓ 想定内の相手(Origin)とだけやりとりする    ・送信時:送信先のOriginを指定する    ・受信時:送信元のOriginを確認する  ✓ 悪意を前提としてメッセージを扱う

       ・相手のサイトが攻撃者の手に落ちている可能性も考慮する

  7. 3. デモ ・Cross-document messaging https://github.com/okuken/sectest_html5/tree/main/01_cross-document_messaging ・Channel messaging https://github.com/okuken/sectest_html5/tree/main/02_channel_messaging

  8. (補足) DOM Invader の機能 DOM-based XSS 関連  ・カナリアによるシンク/ソース検出  ・カナリアの自動挿入  ・イベントの自動発火

     ・リダイレクト防止 Web Messaging 関連  ・postMessage のキャプチャ  ・脆弱性スキャン  ・カナリアの自動挿入  ・Messageのリピート送信  ・Messageの自動生成/送信  ・Originのスプーフィング DOM Invader 本日はこちらを使用
  9. None
  10. None

  11. 4. 参考サイト https://html.spec.whatwg.org/multipage/web-messaging.html https://developer.mozilla.org/ja/docs/Web/API/Window/postMessage https://developer.mozilla.org/ja/docs/Web/API/MessageChannel https://cheatsheetseries.owasp.org/cheatsheets/HTML5_Security_Cheat_Sheet.html https://owasp.org/www-project-web-security-testing-guide/stable/4- Web_Application_Security_Testing/11-Client-side_Testing/11-Testing_Web_Messaging

  12. None