In recent years, Shift Left Security has been pushing to integrate security early in the development of a product. At the same time, web marketing team's toolset has developped more and more to the "edge", in order to allow for faster iteration. Their activities often require the inclusion of targeted, sometimes temporary but powerful scripts deployed to customer-facing applications, without security team's knowledge. In this talk I'll show how things could go wrong, and the first steps that your security team can take to remedy to this lack of visibility, without impeding the work of marketing.
17. マーケティング部と確認しない、
又は忘れられたラストマイル
0xFC698 Directory Table Base Hash
0xFC90A Load Secondary Subversion
0xFC864 Profile Database Commit
0xFC6D8 Profile Loader Module
0xFC874 Active Process
0xFC708 Machine Image Type Mux
0xFB08C Unloaded Drivers Offset List
0xFC550 Bug Check Parameter 001
18. >
CODEBLUE2021
CODEBLUE2021
18
ウェブサイトの盲点
Web サイトの意思決定者の 92 %は、自社の
Web サイトで実行されているサードパーティ製の
クライアントサイドスクリプトについて、
完全には把握できていないと答えた。
参 照 : C y b e r t h r e a t D e f e n s e R e p o r t 2 0 2 1 , C y b e r E d g e G r o u p , L L C . f o r P e r i m e t e r X
h t t p s : / / w w w . p e r i m e t e r x . c o m / c d r 2 0 2 1
24. CODEBLUE2021
CODEBLUE2021 >
24
代表なタグマネージャー 「タグマネージャーとは、ウェブサイト [ 等 ] に
含まれる「タグ」(トラッキング コードや関連
するコードの総称)を素早く簡単に更新できるタ
グ管理システム。
タグマネージャーのコードの一部をプロジェクト
に追加すると、ウェブベースのユーザー インター
フェースから、分析と測定のタグ設定を安全かつ
簡単にデプロイできます。」
タグマネージャーとは
参 照
h t t p s : / / s u p p o r t . g o o g l e . c o m / t a g m a n a g e r / a n s w e r / 6 1 0 2 8 2 1 ? h l = j a
79. >
CODEBLUE2021
CODEBLUE2021
79
リスクの軽減
まともなタグマネージャーツールは CSP に対応させ、
`nonce` 値を作成できる
参 照 : U s i n g G o o g l e T a g M a n a g e r w i t h a C o n t e n t S e c u r i t y P o l i c y , G o o g l e T a g M a n a g e r
h t t p s : / / d e v e l o p e r s . g o o g l e . c o m / t a g - m a n a g e r / w e b / c s p
技術的な面で
80. >
CODEBLUE2021
CODEBLUE2021
80
リスクの軽減
> CSP は完璧ではない
> バイパスや、許可されたドメインの濫用は可能
参 照 : A m i r S h a k e d - C S P i s b r o k e n , l e t ’ s fi x i t - D E F C O N 2 9 A p p S e c V i l l a g e
h t t p s : / / w w w . y o u t u b e . c o m / w a t c h ? v = k k I r H 3 F s 4 I g
技術的な面で