Yoshihiro Ura, profile picture
Uploaded byYoshihiro Ura
2,294 views

WebフレームワークXSS対策の自動化

セキュリティキャンプ中央大会2012 webセキュリティクラス チーム「わく□」 <del>Python / スリッパ</del> @kyubuns / @lmt_swallow

Embed presentation

Downloaded 12 times
セキュリティキャンプ中央大会2012 webセキュリティコース成果発表 Webフレームワークの XSS対策の自動化 わく□(@kyubuns / @lmt_swallow)
目的 Webフレームワーク側で基本的な  XSS対策を自動的に行うようにして  脆弱性のあるWebサイトを減らす
現在の問題点 • セキュリティに詳しくない人が脆弱性 のあるサイトを簡単に作れてしまう。 • 文脈を見てエスケープする文字を変更 する必要がある。 • 例えば、HTMLとJSでは別々のエス ケープ処理が必要。
今回やったこと • それぞれが別々のフレームワークに 自動でXSS対策をしてくれるライブラリ を作成した。
特徴 • 文脈に応じて正しいエスケープが自動的に行 われる。 • 例えばHTMLとJSでは違うエスケープ処理が必要。 • フレームワーク自体のコードは変更しない。 • 稼働中のコードに少ない変更で導入できる。
テンプレート:14行
Pythonという言語:15行
たった30行で作れる!
けどそのまま表示してるので危ない。
ふぁぼめ (Python+Flask用のXSS対策自動化ライブラリ)
実装 • 外部から入力された値は通常の文字列型では なく独自の型として扱う。 • 通常の文字列型との比較演算子を定義して おくことで、いつも通り使える。 • 文字列にキャストする時に自動でエスケー プが走る。
実装 • Flaskに渡す前にテンプレートを解析し て、必要なエスケープ処理をテンプ レートに埋め込む。
導入手順 • テンプレート自体はそのまま使える。 • テンプレートの読み込みクラスを EnvironmentからFavEnvironmentに変更。 • 入力の取得を  before: request.values.get(“name”) #返り値はstring  after: favreq(“name”)     #返り値はUserInputString に変更。
SanitizeController (PHP+CakePHP用のXSS対策自動化ライブラリ)
App::import(“Controller”,”Sanitize”); class TestController extend SanitizeController { public function index() { //WARNING!!!! $ts = “<script>alert(1)</script>”; $this->set(“test”,$ts); } }
diff <  App::import("Controller","Sanitize"); >      class TesterController extends AppController <      class TesterController extends SanitizeController
実装 • 実装自体は継承元のControllerクラスの setメソッドをオーバーライドしてるだ け。 • 継承するControllerをSanitizeControllerに 変更するだけで使える。
今後の課題 • まだ対応出来ていない脆弱性があるの で対応したい。

More Related Content

PPTX
Concurrent Programming in JavaScript
byyjono Seino
 
PPTX
Sails.jsのメリット・デメリット
byIto Kohta
 
PPTX
JavaScriptの仕組みと未来のJavaScript ~ESNextとは~
byYuki Hirano
 
PDF
MVCフレームワーク Sails.jsについて機能紹介
bykamiyam .
 
PDF
Concurrent Programm in JavaScript
byyjono Seino
 
PDF
Node.jsで始める Modern JavaScript Framework
bykamiyam .
 
PPTX
サーバ・VM+コンテナ管理Tips@オンライン合宿2020
byYuki Nihei
 
PPTX
20120128
by小野 修司
 
Concurrent Programming in JavaScript
byyjono Seino
 
Sails.jsのメリット・デメリット
byIto Kohta
 
JavaScriptの仕組みと未来のJavaScript ~ESNextとは~
byYuki Hirano
 
MVCフレームワーク Sails.jsについて機能紹介
bykamiyam .
 
Concurrent Programm in JavaScript
byyjono Seino
 
Node.jsで始める Modern JavaScript Framework
bykamiyam .
 
サーバ・VM+コンテナ管理Tips@オンライン合宿2020
byYuki Nihei
 
20120128
by小野 修司
 

What's hot

PDF
a-sap09「a-blog cmsとWordPress」
bySeiko Kuchida
 
PDF
まだ DOM 操作で消耗してるの?
byYuki Ishikawa
 
PDF
iOSでMVVM入門
byishikawa akira
 
KEY
goog.require()を手書きしていいのは小学生まで
byTeppei Sato
 
PPTX
Rubyによるクローラー開発
byしくみ製作所
 
PDF
WordPressとサーバーお金の話
byTomoyuki Sugita
 
PPTX
もう2度と止まらせない
byShogo Hashimoto
 
PDF
WebビューアやURLから挿入ステップの使いどころの考察
byfrudens Inc.
 
PDF
Js frameworkの紹介
byRyo Shimada
 
PDF
a-sap08「a-blog cmsとMovable Type」
bySeiko Kuchida
 
PPT
node.js
byMasataka Ohara
 
PPTX
Stm vol3 awsで落ちないwebサービスを構築
bytsuyoshi shiino
 
PDF
a-sap10「モジュールIDを理解する」
bySeiko Kuchida
 
PPTX
Node.jsではじめるサーバ構築
byAimingStudy
 
PDF
A 1-2 One ASP.NET - ASP.NET Web Stack
byGoAzure
 
PPTX
Blog=pelican+bit bucket+docker
byNobuaki Aoki
 
PDF
( ゚∀゚)o彡° Flux! Flux!
byYuki Ishikawa
 
PDF
Learning jQuery
bytaiju higashi
 
PPTX
20120609
by小野 修司
 
PDF
Middlemanによる静的サイト作成術
by豊明 尾古
 
a-sap09「a-blog cmsとWordPress」
bySeiko Kuchida
 
まだ DOM 操作で消耗してるの?
byYuki Ishikawa
 
iOSでMVVM入門
byishikawa akira
 
goog.require()を手書きしていいのは小学生まで
byTeppei Sato
 
Rubyによるクローラー開発
byしくみ製作所
 
WordPressとサーバーお金の話
byTomoyuki Sugita
 
もう2度と止まらせない
byShogo Hashimoto
 
WebビューアやURLから挿入ステップの使いどころの考察
byfrudens Inc.
 
Js frameworkの紹介
byRyo Shimada
 
a-sap08「a-blog cmsとMovable Type」
bySeiko Kuchida
 
node.js
byMasataka Ohara
 
Stm vol3 awsで落ちないwebサービスを構築
bytsuyoshi shiino
 
a-sap10「モジュールIDを理解する」
bySeiko Kuchida
 
Node.jsではじめるサーバ構築
byAimingStudy
 
A 1-2 One ASP.NET - ASP.NET Web Stack
byGoAzure
 
Blog=pelican+bit bucket+docker
byNobuaki Aoki
 
( ゚∀゚)o彡° Flux! Flux!
byYuki Ishikawa
 
Learning jQuery
bytaiju higashi
 
20120609
by小野 修司
 
Middlemanによる静的サイト作成術
by豊明 尾古
 

Viewers also liked

PDF
JavaFX
byMichael Heinrichs
 
PDF
【16-D-4】3分ではじめるスマホアプリのビジュアル開発
byhmimura_embarcadero
 
PPTX
6 Key Elements to a Good Website
byWebs
 
PDF
リサーチャーとマーケター原稿2012326
byShigeru Kishikawa
 
PDF
最新開発支援ツールを使ったデバッグ対応
byOsamu Monoe
 
PDF
Simple Pure Java
byAnton Keks
 
PDF
マークアップエンジニア だからうれしい Fireworksの使い方あれこれ
byNaoki Matsuda
 
PPTX
Debugging mobile websites and web apps
byMihai Corlan
 
PDF
Transformative Web Design ~変化にしなやかに対応するデザイン力~
byYasuhisa Hasegawa
 
PDF
解析データの分析と活用
byKeisuke Anzai
 
PDF
Developing with Phonegap - Adobe Refresh 2012
byRyan Stewart
 
PDF
3D printing for Development Hack Day in Bucharest, session 1
byAsociatia Techsoup Romania
 
KEY
WordPressコミュニティの魅力 | OSC Nagoya 2012 WordBench Nagoya
bytakashi ono
 
PDF
『デザイニング・インターフェース』読書会資料
byNoriyo Asano
 
PDF
これから求められるWebコミュニケーションスキル 〜今日から始めるプロトタイプデザイン
byYasuhisa Hasegawa
 
PDF
デザイナーがエンジニアさんと楽しくデザイン実装の話をするために
byChihiro Tomita
 
PDF
デジタルインテリジェンスの「構想力」
byDigital Intelligence Inc.
 
PDF
言語の世界
byyukihiro_matz
 
PDF
The Craft of UX
byLeanna Gingras
 
PDF
画像Hacks
byYusuke Wada
 
JavaFX
byMichael Heinrichs
 
【16-D-4】3分ではじめるスマホアプリのビジュアル開発
byhmimura_embarcadero
 
6 Key Elements to a Good Website
byWebs
 
リサーチャーとマーケター原稿2012326
byShigeru Kishikawa
 
最新開発支援ツールを使ったデバッグ対応
byOsamu Monoe
 
Simple Pure Java
byAnton Keks
 
マークアップエンジニア だからうれしい Fireworksの使い方あれこれ
byNaoki Matsuda
 
Debugging mobile websites and web apps
byMihai Corlan
 
Transformative Web Design ~変化にしなやかに対応するデザイン力~
byYasuhisa Hasegawa
 
解析データの分析と活用
byKeisuke Anzai
 
Developing with Phonegap - Adobe Refresh 2012
byRyan Stewart
 
3D printing for Development Hack Day in Bucharest, session 1
byAsociatia Techsoup Romania
 
WordPressコミュニティの魅力 | OSC Nagoya 2012 WordBench Nagoya
bytakashi ono
 
『デザイニング・インターフェース』読書会資料
byNoriyo Asano
 
これから求められるWebコミュニケーションスキル 〜今日から始めるプロトタイプデザイン
byYasuhisa Hasegawa
 
デザイナーがエンジニアさんと楽しくデザイン実装の話をするために
byChihiro Tomita
 
デジタルインテリジェンスの「構想力」
byDigital Intelligence Inc.
 
言語の世界
byyukihiro_matz
 
The Craft of UX
byLeanna Gingras
 
画像Hacks
byYusuke Wada
 

Similar to WebフレームワークXSS対策の自動化

ODP
ライブコーディングとデモで理解するWebセキュリティの基礎
byTakahisa Kishiya
 
PPTX
Pythonを使った簡易診断スクリプトの作り方
byYuichi Hattori
 
PPTX
徳丸本に載っていないWebアプリケーションセキュリティ
byHiroshi Tokumaru
 
PDF
CSP Lv.2の話
byYu Yagihashi
 
PDF
今さら聞けないXSS
bySota Sugiura
 
PDF
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -
byIsao Takaesu
 
PPTX
安全なPHPアプリケーションの作り方2014
byHiroshi Tokumaru
 
PPTX
ウェブセキュリティの常識
byHiroshi Tokumaru
 
PDF
Pythonおじさんのweb2py挑戦記
byYoshiyuki Nakamura
 
PDF
徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2012
byHiroshi Tokumaru
 
PPTX
XSSの評価基準とRIPSプラグイン的なものを作った
byyamaguchi_2048
 
PDF
XSSについて調べたこと
byiPride Co., Ltd.
 
PDF
XSSの傾向と対策
byYusuke Sangenya
 
PDF
PyCon APAC 2013 Web Secure Coding
byGouji Ochiai
 
PPT
re RainbowTwtr - 構造化テキストの安全なエスケープ手法について
byKazuho Oku
 
PPT
20090218 第5回「PhpによるWebアプリケーションのセキュリティ入門」
byHiromu Shioya
 
PDF
安全なWebアプリ構築1回
byProject Samurai
 
PDF
安全なプログラムの作り方
byKazuhiro Nishiyama
 
PPTX
KLab Server Side Camp 成果発表
byyosswi414
 
PDF
Security.gs fes 2010 in tokyo
byRen Sakamoto
 
ライブコーディングとデモで理解するWebセキュリティの基礎
byTakahisa Kishiya
 
Pythonを使った簡易診断スクリプトの作り方
byYuichi Hattori
 
徳丸本に載っていないWebアプリケーションセキュリティ
byHiroshi Tokumaru
 
CSP Lv.2の話
byYu Yagihashi
 
今さら聞けないXSS
bySota Sugiura
 
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -
byIsao Takaesu
 
安全なPHPアプリケーションの作り方2014
byHiroshi Tokumaru
 
ウェブセキュリティの常識
byHiroshi Tokumaru
 
Pythonおじさんのweb2py挑戦記
byYoshiyuki Nakamura
 
徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2012
byHiroshi Tokumaru
 
XSSの評価基準とRIPSプラグイン的なものを作った
byyamaguchi_2048
 
XSSについて調べたこと
byiPride Co., Ltd.
 
XSSの傾向と対策
byYusuke Sangenya
 
PyCon APAC 2013 Web Secure Coding
byGouji Ochiai
 
re RainbowTwtr - 構造化テキストの安全なエスケープ手法について
byKazuho Oku
 
20090218 第5回「PhpによるWebアプリケーションのセキュリティ入門」
byHiromu Shioya
 
安全なWebアプリ構築1回
byProject Samurai
 
安全なプログラムの作り方
byKazuhiro Nishiyama
 
KLab Server Side Camp 成果発表
byyosswi414
 
Security.gs fes 2010 in tokyo
byRen Sakamoto
 

WebフレームワークXSS対策の自動化