水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > WASForum Conference 2010: "Web2.0" におけるセキュリティ ~ セキュアなWeb2.0環境の構築とは

WASForum Conference 2010: "Web2.0" におけるセキュリティ ~ セキュアなWeb2.0環境の構築とは

2010年5月22日(土曜日)

WASForum Conference 2010: "Web2.0" におけるセキュリティ ~ セキュアなWeb2.0環境の構築とは

公開: 2010年6月1日1時30分頃

WASForum Conference 2010、OAuthの話の次は、日本IBMの吉濱佐知子さんによる「"Web2.0" におけるセキュリティ ~ セキュアなWeb2.0環境の構築とは」というお話。吉濱さんはWASForum初の女性スピーカーなのだそうです。

※全体的に話の流れが非常に速く、ほとんどメモが取れませんでした。以下、メモは断片的です。

Web2.0におけるセキュリティ
  • Webアプリケーションの脆弱性は依然として多い
  • Web2.0(ツーオー)の特徴……Ajaxによる非同期アクセス、MashUp
  • Same-Origin Policyを破るコンテンツ …… サイト運営者が用意したものではないUGC (user-generated content、ユーザが投稿したさまざまなコンテンツ) や JSONP による外部ドメインコンテンツの取り込み
脅威の発生経路
  • T1: 通信チャネルに対する脅威 …… 通信傍受、改竄。Ajax通信の部分だけHTTPSになっていない、といった破れ
  • T2: HTTPクライアントからサーバに対する脅威 …… インジェクション攻撃
  • T3: 攻撃者サーバからユーザへの脅威 …… フィッシング、Typosquatting(有名ドメイン名の打ち間違いを狙う)、Pharming(?)
  • T4: クライアント側のインジェクション …… 悪意あるマッシュアップ。たとえば、広告スペースの又貸しによって、有名サイトに悪意ある広告が出現するなど

※他、いくつかあった模様ですがメモしきれず。

Googleの事例
  • Google docsのXSS
  • 他のサービス全てに対してセッションハイジャックのおそれ
XSSの難読化
  • img要素のjavascript:スキーム
  • JavaScriptの途中に改行やNUL文字を挿入
  • %xx形式
  • <meta url=data:text/html;base64>
  • 数値文字参照、 &#x0000000000001; のような冗長な書き方
  • charset=US-ASCIIのとき、8bit目を無視するブラウザが存在
  • charsetに未知の値 (たとえばcp932) が指定されたとき
  • DOM-based XSS
  • Cross-Site Image Overlay …… コンテンツ内のリンク付き画像のpositionを調整して正規のロゴ画像にかぶせたり
  • Cross-Site Flashing ……ActionScriptの getURL() に外部パラメータをまんまインジェクションできるケース
  • jarプロトコルハンドラ …… jar:https://example.com/a.jar!/b.html のようにするとjar内のコンテンツが参照できる。jarはZIPなので、ZIPが置けるサービスに使用すると……。
  • GIFAR …… 画像として妥当だが、jarとしてもアクセスできるファイル
  • javascriptハイジャッキング …… メソッドを上書きして外部JSを呼んだり
T6: ユーザのPCに対する脅威
  • ローカルネットワークに対する攻撃
  • JavaScriptによるポートスキャン
  • Cross-Site Printing
  • CSRFによるルータ設定変更

基本的には手法などの紹介なのですが、展開が非常に早くてメモが全く追いつきませんでした。前のセッションが長引いていたので仕方ないと思いますが、もう少しゆっくり聞きたかったところですね。

紹介されていたものの中では、jarを使った攻撃手法が印象的でした。このパターンはあまり見たことがないので、少し調べてみたいですね。他の手法はおおむね既知だったり……あとは、「クロスサイト」という名前がやたら多い割に、内容がクロスサイトとは言いにくいものが多かったような気がします。海外ではクロスサイトという名前が好まれているのでしょうか?

しかし、やはり最も印象に残ったのは "Web2.0(ツーオー)" ですね。会場でも多くの人が感銘を受けていたようで、Twitterでもしばらく「ツーオー」の話が流れていました。

あとちょっとだけ続きます……SDL脅威分析の方法とWindows Live IDにおけるアプローチ

関連する話題: セキュリティ / WASForum Conference / WASForum Conference 2010

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト