Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Web Messaging のセキュリティ - DOM Invaderを添えて - / We...

okuken
September 30, 2021
Technology
0
2.8k

Web Messaging のセキュリティ - DOM Invaderを添えて - / Web Messaging Security

Web Messaging のセキュリティについての簡単な説明と、デモを行います。
デモで使用するコードはGitHubで公開しています。

okuken

September 30, 2021
Tweet

More Decks by okuken

See All by okuken
全集中Burp extension ISTE勉強会 第1回 / Burp ISTE study 01
okuken
0
330
全集中Burp extension ISTE v0.5.0 ー Request chain の躍進 / Burp extension ISTE v050
okuken
0
350
DOM Invader - prototype pollution対応の衝撃 - / DOM Invader - prototype pollution
okuken
0
720
npm Security ー サプライチェーン攻撃の観点から ー
okuken
1
580
全集中 Burp extension ISTE リリース1周年記念 - 振り返り - / Burp extension ISTE 1st Anniversary
okuken
0
470
Dangerous usage of JNDI
okuken
0
400
全集中 Burp extension ISTE v0.4リリース / Burp extension ISTE v0.4
okuken
0
410
DOM Invader - Burp Suiteの新機能でJavaScriptに立ち向かう - / DOM Invader
okuken
0
1.3k
#BurpISTEで!SECCON Beginners CTF 2021 Web問に全集中した話 / ctf4b 2021 with ISTE
okuken
1
510

Other Decks in Technology

See All in Technology
速くて安いWebサイトを作る
nishiharatsubasa
12
14k
Goで作って学ぶWebSocket
ryuichi1208
3
1.7k
トラシューアニマルになろう ~開発者だからこそできる、安定したサービス作りの秘訣~
jacopen
2
2k
N=1から解き明かす AWS ソリューションアーキテクトの魅力
kiiwami
0
130
Helm , Kustomize に代わる !? 次世代 k8s パッケージマネージャー Glasskube 入門 / glasskube-entry
parupappa2929
0
250
目の前の仕事と向き合うことで成長できる - 仕事とスキルを広げる / Every little bit counts
soudai
26
7.3k
表現を育てる
kiyou77
1
220
運用しているアプリケーションのDBのリプレイスをやってみた
miura55
1
750
室長と気ままに学ぶマイクロソフトのビジネスアプリケーションとビジネスプロセス
ryoheig0405
0
370
急成長する企業で作った、エンジニアが輝ける制度/ 20250214 Rinto Ikenoue
shift_evolve
3
1.3k
全文検索+セマンティックランカー+LLMの自然文検索サ−ビスで得られた知見
segavvy
2
110
レビューを増やしつつ 高評価維持するテクニック
tsuzuki817
1
740

Featured

See All Featured
Navigating Team Friction
lara
183
15k
Side Projects
sachag
452
42k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
46
2.3k
Typedesign – Prime Four
hannesfritz
40
2.5k
Facilitating Awesome Meetings
lara
52
6.2k
Art, The Web, and Tiny UX
lynnandtonic
298
20k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
27
1.6k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
KATA
mclloyd
29
14k
Visualization
eitanlees
146
15k
The Language of Interfaces
destraynor
156
24k

Transcript

  1. Web Messaging のセキュリティ -DOM Invader を添えて- @okuken3 2021.09.30 第11回 初心者のためのセキュリティ勉強会

  2. 0. 自己紹介 1. Web Messaging とは 2. Web Messaging のセキュリティ

    3. デモ 4. 参考サイト Agenda

  3. NO IMAGE Kenichi Okuno  Twitter: @okuken3 略歴  1. SIerで色々  2.

    業務パッケージベンダで開発  3. Web事業会社でプロダクトセキュリティチーム立上げ  4. 情報セキュリティサービス会社でWeb脆弱性診断 最近の出来事  ・家庭内RPA 1ネタ運用開始  ・ISTE v0.4.0 近日リリース予定

  4. 1. Web Messaging とは  ✓ HTML5で導入されたAPI  ✓ 異なるOriginのWindowオブジェクト間で    メッセージのやりとりができる

  5. 1. Web Messaging とは iframe https://a.example.com https://a.example.com https://b.example.com message message

  6. 2. Web Messaging のセキュリティ  ✓ 想定内の相手(Origin)とだけやりとりする    ・送信時:送信先のOriginを指定する    ・受信時:送信元のOriginを確認する  ✓ 悪意を前提としてメッセージを扱う

       ・相手のサイトが攻撃者の手に落ちている可能性も考慮する

  7. 3. デモ ・Cross-document messaging https://github.com/okuken/sectest_html5/tree/main/01_cross-document_messaging ・Channel messaging https://github.com/okuken/sectest_html5/tree/main/02_channel_messaging

  8. (補足) DOM Invader の機能 DOM-based XSS 関連  ・カナリアによるシンク/ソース検出  ・カナリアの自動挿入  ・イベントの自動発火

     ・リダイレクト防止 Web Messaging 関連  ・postMessage のキャプチャ  ・脆弱性スキャン  ・カナリアの自動挿入  ・Messageのリピート送信  ・Messageの自動生成/送信  ・Originのスプーフィング DOM Invader 本日はこちらを使用
  9. None
  10. None

  11. 4. 参考サイト https://html.spec.whatwg.org/multipage/web-messaging.html https://developer.mozilla.org/ja/docs/Web/API/Window/postMessage https://developer.mozilla.org/ja/docs/Web/API/MessageChannel https://cheatsheetseries.owasp.org/cheatsheets/HTML5_Security_Cheat_Sheet.html https://owasp.org/www-project-web-security-testing-guide/stable/4- Web_Application_Security_Testing/11-Client-side_Testing/11-Testing_Web_Messaging

  12. None