Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Web Messaging のセキュリティ - DOM Invaderを添えて - / We...

okuken
September 30, 2021
Technology
0
2.8k

Web Messaging のセキュリティ - DOM Invaderを添えて - / Web Messaging Security

Web Messaging のセキュリティについての簡単な説明と、デモを行います。
デモで使用するコードはGitHubで公開しています。

okuken

September 30, 2021
Tweet

More Decks by okuken

See All by okuken
全集中Burp extension ISTE勉強会 第1回 / Burp ISTE study 01
okuken
0
310
全集中Burp extension ISTE v0.5.0 ー Request chain の躍進 / Burp extension ISTE v050
okuken
0
340
DOM Invader - prototype pollution対応の衝撃 - / DOM Invader - prototype pollution
okuken
0
710
npm Security ー サプライチェーン攻撃の観点から ー
okuken
1
580
全集中 Burp extension ISTE リリース1周年記念 - 振り返り - / Burp extension ISTE 1st Anniversary
okuken
0
460
Dangerous usage of JNDI
okuken
0
400
全集中 Burp extension ISTE v0.4リリース / Burp extension ISTE v0.4
okuken
0
400
DOM Invader - Burp Suiteの新機能でJavaScriptに立ち向かう - / DOM Invader
okuken
0
1.3k
#BurpISTEで!SECCON Beginners CTF 2021 Web問に全集中した話 / ctf4b 2021 with ISTE
okuken
1
510

Other Decks in Technology

See All in Technology
技術に触れたり、顔を出そう
maruto
1
160
Docker Desktop で Docker を始めよう
zembutsu
PRO
0
200
Git scrapingで始める継続的なデータ追跡 / Git Scraping
ohbarye
5
510
機械学習を「社会実装」するということ 2025年版 / Social Implementation of Machine Learning 2025 Version
moepy_stats
8
1.9k
Visual StudioとかIDE関連小ネタ話
kosmosebi
1
380
デジタルアイデンティティ技術 認可・ID連携・認証 応用 / 20250114-OIDF-J-EduWG-TechSWG
oidfj
2
710
Godot Engineについて調べてみた
unsoluble_sugar
0
440
カップ麺の待ち時間(3分)でわかるPartyRockアップデート
ryutakondo
0
150
When Windows Meets Kubernetes…
pichuang
0
310
20250122_FinJAWS
takuyay0ne
2
110
Goで実践するBFP
hiroyaterui
1
120
Copilotの力を実感! 3ヶ月間の生成AI研修の試行錯誤&成功事例をご紹介。果たして得たものとは・・?
ktc_shiori
0
370

Featured

See All Featured
XXLCSS - How to scale CSS and keep your sanity
sugarenia
248
1.3M
Making Projects Easy
brettharned
116
6k
Being A Developer After 40
akosma
89
590k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
45
2.3k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
2k
No one is an island. Learnings from fostering a developers community.
thoeni
19
3.1k
Java REST API Framework Comparison - PWX 2021
mraible
28
8.3k
Six Lessons from altMBA
skipperchong
27
3.6k
4 Signs Your Business is Dying
shpigford
182
22k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
132
33k
Become a Pro
speakerdeck
PRO
26
5.1k
Speed Design
sergeychernyshev
25
740

Transcript

  1. Web Messaging のセキュリティ -DOM Invader を添えて- @okuken3 2021.09.30 第11回 初心者のためのセキュリティ勉強会

  2. 0. 自己紹介 1. Web Messaging とは 2. Web Messaging のセキュリティ

    3. デモ 4. 参考サイト Agenda

  3. NO IMAGE Kenichi Okuno  Twitter: @okuken3 略歴  1. SIerで色々  2.

    業務パッケージベンダで開発  3. Web事業会社でプロダクトセキュリティチーム立上げ  4. 情報セキュリティサービス会社でWeb脆弱性診断 最近の出来事  ・家庭内RPA 1ネタ運用開始  ・ISTE v0.4.0 近日リリース予定

  4. 1. Web Messaging とは  ✓ HTML5で導入されたAPI  ✓ 異なるOriginのWindowオブジェクト間で    メッセージのやりとりができる

  5. 1. Web Messaging とは iframe https://a.example.com https://a.example.com https://b.example.com message message

  6. 2. Web Messaging のセキュリティ  ✓ 想定内の相手(Origin)とだけやりとりする    ・送信時:送信先のOriginを指定する    ・受信時:送信元のOriginを確認する  ✓ 悪意を前提としてメッセージを扱う

       ・相手のサイトが攻撃者の手に落ちている可能性も考慮する

  7. 3. デモ ・Cross-document messaging https://github.com/okuken/sectest_html5/tree/main/01_cross-document_messaging ・Channel messaging https://github.com/okuken/sectest_html5/tree/main/02_channel_messaging

  8. (補足) DOM Invader の機能 DOM-based XSS 関連  ・カナリアによるシンク/ソース検出  ・カナリアの自動挿入  ・イベントの自動発火

     ・リダイレクト防止 Web Messaging 関連  ・postMessage のキャプチャ  ・脆弱性スキャン  ・カナリアの自動挿入  ・Messageのリピート送信  ・Messageの自動生成/送信  ・Originのスプーフィング DOM Invader 本日はこちらを使用
  9. None
  10. None

  11. 4. 参考サイト https://html.spec.whatwg.org/multipage/web-messaging.html https://developer.mozilla.org/ja/docs/Web/API/Window/postMessage https://developer.mozilla.org/ja/docs/Web/API/MessageChannel https://cheatsheetseries.owasp.org/cheatsheets/HTML5_Security_Cheat_Sheet.html https://owasp.org/www-project-web-security-testing-guide/stable/4- Web_Application_Security_Testing/11-Client-side_Testing/11-Testing_Web_Messaging

  12. None