Shibuya.XSSというクロスサイトスクリプティングを題材にしたイベントがあります。
普段は東京で開催されていて、今日はその11回目とのことです。
今回は大阪でライブ中継されるとのことで行ってみました。
https://shibuyaxss.connpass.com/event/131336/
梅田阪急オフィスタワーが会場だったのですが、思いっきり間違えて
阪急32番街グランドビル→阪急百貨店と彷徨いまくったことはナイショです。
本編はTL実況と同時進行で見ていたのですが、東京会場にはセキュリティの
有名人が数多く来られていたようで、オールスター感満載。すごいな、このイベント。
以下、初めての知識がたくさんでしたが、ついていけないなりにメモ。
詳細は誰かがトゥギャってくれるハズ…。
[講演1本目]
・XSSができると、その先にはもっといろんなことができる世界がある。
→Cross-site Leaks(XS-Leaks), Cross-site Search(XS-Search)
・XS-Keakは昔は見つけてもバグバウンティ(報奨金)にならなかったが、
最近ではヘッダ差し込みによる対策があるため、Googleさんは報奨金を
支払ってくれるらしい。
・CSSインポートを使ったCSSインジェクションがアツい!?
[講演2本目]
・最近のWebは何でもJavaScriptでやる。
・スクリプトブロックの制限というのがあるが、JSの仕様では
その理由が「歴史的な理由」と一言で片づけられており、ちょっとした謎となっている。
・プロパティアクセス
・Node.js固有の話
→try~catchでエラーを捕まえることができない。
・(番外編)Power PointにU+2028の直接入力はやってはいけない
[講演3本目]
・信頼できないData URLをiframeで表示することはXSSにはならないが危険
・CORPヘッダーは入れとくべし
→CORSの誤植?
・ブラウザセキュリティ機能はバイパスされるためにある
その他通り掛かった各種看板。