WASForum Conference 2010: "Web2.0" におけるセキュリティ～セキュアなWeb2.0環境の構築とは

2010年5月22日(土曜日)

WASForum Conference 2010: "Web2.0" におけるセキュリティ～セキュアなWeb2.0環境の構築とは

公開: 2010年6月1日1時30分頃

WASForum Conference 2010、OAuthの話の次は、日本IBMの吉濱佐知子さんによる「"Web2.0" におけるセキュリティ～セキュアなWeb2.0環境の構築とは」というお話。吉濱さんはWASForum初の女性スピーカーなのだそうです。

※全体的に話の流れが非常に速く、ほとんどメモが取れませんでした。以下、メモは断片的です。

Web2.0におけるセキュリティ

Webアプリケーションの脆弱性は依然として多い
Web2.0(ツーオー)の特徴……Ajaxによる非同期アクセス、MashUp
Same-Origin Policyを破るコンテンツ …… サイト運営者が用意したものではないUGC (user-generated content、ユーザが投稿したさまざまなコンテンツ) や JSONP による外部ドメインコンテンツの取り込み

脅威の発生経路

T1: 通信チャネルに対する脅威 …… 通信傍受、改竄。Ajax通信の部分だけHTTPSになっていない、といった破れ
T2: HTTPクライアントからサーバに対する脅威 …… インジェクション攻撃
T3: 攻撃者サーバからユーザへの脅威 …… フィッシング、Typosquatting(有名ドメイン名の打ち間違いを狙う)、Pharming(?)
T4: クライアント側のインジェクション …… 悪意あるマッシュアップ。たとえば、広告スペースの又貸しによって、有名サイトに悪意ある広告が出現するなど

※他、いくつかあった模様ですがメモしきれず。

Googleの事例

Google docsのXSS
他のサービス全てに対してセッションハイジャックのおそれ

XSSの難読化

img要素のjavascript:スキーム
JavaScriptの途中に改行やNUL文字を挿入
%xx形式
<meta url=data:text/html;base64>
数値文字参照、 &#x0000000000001; のような冗長な書き方
charset=US-ASCIIのとき、8bit目を無視するブラウザが存在
charsetに未知の値 (たとえばcp932) が指定されたとき
DOM-based XSS

Cross-Site Image Overlay …… コンテンツ内のリンク付き画像のpositionを調整して正規のロゴ画像にかぶせたり
Cross-Site Flashing ……ActionScriptの getURL() に外部パラメータをまんまインジェクションできるケース
jarプロトコルハンドラ …… jar:https://example.com/a.jar!/b.html のようにするとjar内のコンテンツが参照できる。jarはZIPなので、ZIPが置けるサービスに使用すると……。
GIFAR …… 画像として妥当だが、jarとしてもアクセスできるファイル
javascriptハイジャッキング …… メソッドを上書きして外部JSを呼んだり

T6: ユーザのPCに対する脅威

ローカルネットワークに対する攻撃
JavaScriptによるポートスキャン
Cross-Site Printing
CSRFによるルータ設定変更

基本的には手法などの紹介なのですが、展開が非常に早くてメモが全く追いつきませんでした。前のセッションが長引いていたので仕方ないと思いますが、もう少しゆっくり聞きたかったところですね。

紹介されていたものの中では、jarを使った攻撃手法が印象的でした。このパターンはあまり見たことがないので、少し調べてみたいですね。他の手法はおおむね既知だったり……あとは、「クロスサイト」という名前がやたら多い割に、内容がクロスサイトとは言いにくいものが多かったような気がします。海外ではクロスサイトという名前が好まれているのでしょうか?

しかし、やはり最も印象に残ったのは "Web2.0(ツーオー)" ですね。会場でも多くの人が感銘を受けていたようで、Twitterでもしばらく「ツーオー」の話が流れていました。

あとちょっとだけ続きます……SDL脅威分析の方法とWindows Live IDにおけるアプローチ

「WASForum Conference 2010: "Web2.0" におけるセキュリティ～セキュアなWeb2.0環境の構築とは」へのコメント (1件)

水無月ばけらのえび日記