水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > OWASP Japan 2nd Local Chapter Meeting

OWASP Japan 2nd Local Chapter Meeting

2012年6月27日(水曜日)

OWASP Japan 2nd Local Chapter Meeting

公開: 2012年7月14日3時0分頃

OWASP Japanの2度目のLocal Chapter Meetingが開催されました……「OWASP Japan 2nd Local Chapter Meeting (www.owasp.org)」。

今回は楽天タワーが会場。楽天がセミナーをやるときのいつもの場所ですが、広い会場の一部だけを使用するような形。それでも200人以上は入っていたようですが。

雑多なメモをだらだらと。後半になるに従ってメモが雑になるのは仕様です。

Short talk of XSS – 短いXSSの話

はせがわさんのお話。

とあるMSのサイトにあったXSS脆弱性、エラー表示をエスケープしていないので突破できるのですが、入力できるデータの長さが制限されているという。いかに短い文字数で任意のスクリプトを実行することができるか、というのが今回のお話。

Netscape4限定のコードなども紹介されて笑いを誘いましたが、結論としては、IE限定で以下のコードが動作するらしいです。

URL=name

URLはlocation.hrefと同じ、nameはwindow.nameなので、ウィンドウにjavascript:で始まる名前をつけて呼び出してやればスクリプトが実こうできるという仕組み。

※手元のIE9では動かない気がするので古いIE限定かも。

ターゲットのサイトがjQueryを使っていれば、以下のような6文字のコードが最短なのだそうで。

$(URL)

KDDI新GWの「かんたんログイン」なりすまし問題を振り返る

徳丸さん、ガラケー卒業宣言。

まずはDNS Rebindingによる攻撃のデモ。

それから、EZWebのIPアドレス統合に伴って発生した問題についての話。ガラケー用のゲートウェイと「PCサイトビューア」のIPアドレスが統合されたという話があったのですが、PCサイトビューアではJavaScriptが動作します。これをうまく使うとガラケー用のサイトの認証を突破できる可能性がある、というお話。

リクエストヘッダのUser-AgentやX-UP-SUBNOは書き換えられないようになっているのですが、X_UP_SUBNOというヘッダフィールドを送ると環境変数X_UP_SUBNOの値が上書きされる……というのが以前あったお話。今回はそれはブロックされていたのですが、X.UP.SUBNOを送ると通り、環境変数X_UP_SUBNOに格納されるというお話でした。

結局、IPアドレスを統合するという話自体が白紙に戻ったようです。

モバイルアプリケーションセキュリティ101

モバイルのセキュリティに関する小話連発。気になったところだけメモしています。

まずは端末の特性に関するお話。

  • デバイスの盗難、紛失リスクが高い。飛行機に良く忘れていく
  • 容易にroot化、脱獄可能 (紛失した端末を拾われる→取得者が脱獄)
  • プラットホーム、デバイスごとに異なる機能
  • パッチ、アップデートが困難
  • ユーザビリティのためにセキュリティを犠牲にする傾向

それからアプリケションの話。

  • 機密データをWorld readableにして保存してしまうケース
  • デバイス上ではパスワードを保存するのではなく、トークンを保存するべき
  • KeyChainへのパスワード保存はroot権限で突破可能
  • PINコードは1万通りしかないので簡単に総当たり可能
  • SSL/TLSの不適切な利用、証明書の検証を忘れているケース
  • UDIDでの認証
  • cycryptでアタッチしてオブジェクトの中身を閲覧する
  • Objective-C はreflective language
  • カレログ
  • 有料リソースへのアクセス
  • Monkeyによるファジング
  • Jailbreakされるのは脆弱性か?
OWASPの歩き方

また上野宣か。

その後の有志での懇親会ではいろいろと貴重な意見交換ができました。特に、パスワード入力欄の話で、「ソフトウェアキーボード」にセキュリティ上の意義があると考えている人がほとんどいなかったというのは印象的でした。ほとんどの人は「キーロガーなどのマルウェアが入っている可能性があるような状況では、何をやっても安全性を担保できない」という立場のようで、まあそれはそうですね。

※とはいえ、実際に銀行の中の人に話を聞いてみたほうが良いのでは、という意見も出ていて、断定的な結論が出たわけでもありません。

関連する話題: Web / セキュリティ / ユーザビリティ / アクセシビリティ

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト