Diese Präsentation wurde erfolgreich gemeldet.
Die SlideShare-Präsentation wird heruntergeladen. ×

パフォーマンスを考慮したプリミティブなTrusted TypesによるClient-Side XSS防御手法

20. Feb 2020
0 gefällt mir 579 Aufrufe
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Nächste SlideShare
Web content security policies
Web content security policies
Wird geladen in …3
×

Hier ansehen

Cross site scripting
ashutosh rai
Django ws
jvanveen
OWASP AppSec USA 2017: Cookie Security – Myths and Misconceptions by David Jo...
David Johansson
OWASP Top Ten 2017
chw
[Cluj] CSP (Content Security Policy)
OWASP EEE
Content Security Policy
Ryan LaBouve
Meteor Meets Mallory
Emily Stark
Ransomware wannacry
rajatpk
1 von 10 Anzeige

パフォーマンスを考慮したプリミティブなTrusted TypesによるClient-Side XSS防御手法

20. Feb 2020
0 gefällt mir 579 Aufrufe

Herunterladen, um offline zu lesen

Internet

inet-lab
yuji-ym

inet-lab
yuji-ym

Internet
Anzeige

Empfohlen

Web content security policies
Dhanu Gupta
58 Aufrufe
7 Folien
Protecting Java Microservices: Best Practices and Strategies
Rodrigo Cândido da Silva
2.2k Aufrufe
27 Folien
CILogon & SciTokens: OIDC/OAuth Federation
jbasney
153 Aufrufe
12 Folien
Xss attack
Ambuj Kumar
53 Aufrufe
11 Folien
Securing your Movable Type installation
Six Apart KK
2.4k Aufrufe
19 Folien
Xss what the heck-!
VodqaBLR
659 Aufrufe
25 Folien
Securing your Node.js App
Dheeraj Joshi
197 Aufrufe
25 Folien
Cross Site Scripting(XSS)
Nabin Dutta
479 Aufrufe
18 Folien
Anzeige

Weitere Verwandte Inhalte

Diashows für Sie (20)

Cross site scripting
ashutosh rai
581 Aufrufe
Django ws
jvanveen
807 Aufrufe
OWASP AppSec USA 2017: Cookie Security – Myths and Misconceptions by David Jo...
David Johansson
1k Aufrufe
OWASP Top Ten 2017
chw
91 Aufrufe
[Cluj] CSP (Content Security Policy)
OWASP EEE
568 Aufrufe
Content Security Policy
Ryan LaBouve
2.6k Aufrufe
Meteor Meets Mallory
Emily Stark
6k Aufrufe
Ransomware wannacry
rajatpk
21 Aufrufe
Kenneth simple bitcoinwebsite
Hu Kenneth
160 Aufrufe
Web vulnerabilities
Oleksandr Kovalchuk
544 Aufrufe
Browser Wars 2019 - Implementing a Content Security Policy
George Boobyer
421 Aufrufe
Http security response headers
mohammadhosseinrouha
78 Aufrufe
웹 개발을 위해 꼭 알아야하는 보안 공격
선협 이
6.5k Aufrufe
Propelling security
Jayant Kumar
64 Aufrufe
Cyber Security Briefing for Beginners
István Lőrincz
134 Aufrufe
BsidesDelhi 2018: DomGoat - the DOM Security Playground
BSides Delhi
187 Aufrufe
Security Basics For Developers Knowledge
Siva Sankar
64 Aufrufe
Windows Azure Kick Start - Common Scenarios
Eric D. Boyd
383 Aufrufe
匿名性が気になってZerocashの White Paperを追ってみた #blockchaintokyo
Salvador Masashi Mitsuzawa
301 Aufrufe
Content Security Policy
Austin Gil
1.4k Aufrufe
Cross site scripting
ashutosh rai
581 Aufrufe
17 Folien
Django ws
jvanveen
807 Aufrufe
10 Folien
OWASP AppSec USA 2017: Cookie Security – Myths and Misconceptions by David Jo...
David Johansson
1k Aufrufe
32 Folien
OWASP Top Ten 2017
chw
91 Aufrufe
21 Folien
[Cluj] CSP (Content Security Policy)
OWASP EEE
568 Aufrufe
13 Folien
Content Security Policy
Ryan LaBouve
2.6k Aufrufe
43 Folien

Ähnlich wie パフォーマンスを考慮したプリミティブなTrusted TypesによるClient-Side XSS防御手法 (20)

Cross Site Scripting - Mozilla Security Learning Center
Michael Coates
6k Aufrufe
Owasp Top 10 A3: Cross Site Scripting (XSS)
Michael Hendrickx
3.8k Aufrufe
XSS: From alert(1) to crypto mining malware
Omer Meshar
1.3k Aufrufe
XSS - Attacks & Defense
Blueinfy Solutions
3.9k Aufrufe
Building Secure User Interfaces With JWTs (JSON Web Tokens)
Stormpath
11.9k Aufrufe
Protecting Your Web Site From SQL Injection & XSS
skyhawk133
3.6k Aufrufe
Html5 security
Krishna T
2.6k Aufrufe
The top 10 security issues in web applications
Devnology
13.4k Aufrufe
SQL Injection and Clickjacking Attack in Web security
Moutasm Tamimi
1.2k Aufrufe
Cross Site Scripting (XSS)
OWASP Khartoum
3.7k Aufrufe
Cross site scripting (xss) attacks issues and defense - by sandeep kumbhar
Sandeep Kumbhar
201 Aufrufe
Locking the Throneroom 2.0
Mario Heiderich
6.4k Aufrufe
XSS- an application security vulnerability
Soumyasanto Sen
1.2k Aufrufe
Track 5 Session 1_如何藉由多層次防禦搭建網路應用安全.pptx
Amazon Web Services
558 Aufrufe
Track 5 Session 1_如何藉由多層次防禦搭建網路應用安全
Amazon Web Services
545 Aufrufe
Locking the Throne Room - How ES5+ might change views on XSS and Client Side ...
Mario Heiderich
3.2k Aufrufe
4.Xss
phanleson
1.2k Aufrufe
Securing your AngularJS Application
Philippe De Ryck
2.7k Aufrufe
Browser Security 101
Stormpath
2.1k Aufrufe
Cos 432 web_security
Michael Freyberger
789 Aufrufe
Cross Site Scripting - Mozilla Security Learning Center
Michael Coates
6k Aufrufe
38 Folien
Owasp Top 10 A3: Cross Site Scripting (XSS)
Michael Hendrickx
3.8k Aufrufe
24 Folien
XSS: From alert(1) to crypto mining malware
Omer Meshar
1.3k Aufrufe
41 Folien
XSS - Attacks & Defense
Blueinfy Solutions
3.9k Aufrufe
50 Folien
Building Secure User Interfaces With JWTs (JSON Web Tokens)
Stormpath
11.9k Aufrufe
63 Folien
Protecting Your Web Site From SQL Injection & XSS
skyhawk133
3.6k Aufrufe
19 Folien
Anzeige

Weitere von inet-lab (6)

清掃工場における磁気フィンガープリンティングパスマッチングによる 屋内測位手法の性能評価
inet-lab
374 Aufrufe
2022/02 情報基盤システム学(NAIST)の研究室紹介
inet-lab
1k Aufrufe
運行情報と気象情報の畳み込みによるバス到着時刻予測手法の提案と評価
inet-lab
847 Aufrufe
euclides-c mthesis
inet-lab
238 Aufrufe
shuji-oh master thesis
inet-lab
887 Aufrufe
情報基盤システム学(NAIST)の研究室紹介
inet-lab
9.2k Aufrufe
清掃工場における磁気フィンガープリンティングパスマッチングによる 屋内測位手法の性能評価
inet-lab
374 Aufrufe
61 Folien
2022/02 情報基盤システム学(NAIST)の研究室紹介
inet-lab
1k Aufrufe
36 Folien
運行情報と気象情報の畳み込みによるバス到着時刻予測手法の提案と評価
inet-lab
847 Aufrufe
25 Folien
euclides-c mthesis
inet-lab
238 Aufrufe
25 Folien
shuji-oh master thesis
inet-lab
887 Aufrufe
14 Folien
情報基盤システム学(NAIST)の研究室紹介
inet-lab
9.2k Aufrufe
34 Folien

Aktuellste (20)

AN-Unit-1-1-Classful-Internet-Addresses.pdf
kaxeca4096
1 Aufruf
BigCommerce Designers, BigCommerce Developers, Bigcommerce development company
Dit_India
4 Aufrufe
keywords.pptx
ssuserd97722
3 Aufrufe
HTTP.pptx
RustamAskaruly
2 Aufrufe
Thesaurus ppt.pptx
ApurvaShyam1
0 Aufrufe
Mitr Sewa.pdf
PVishnu599
2 Aufrufe
WT_PHP_PART1.pdf
HambardeAtharva
0 Aufrufe
laudon_ess7_ch06 (1).pdf
KrisceaGramata
2 Aufrufe
Advantages_and_disadvantages_of_computer.pptx
Chewe Lulembo
2 Aufrufe
67A01056F44149CC8CDD3039897DD4CA.ppt
KrisceaGramata
1 Aufruf
Blockchain Developer Geography 2023 by Electric Capital
MariaShen2
126 Aufrufe
fgdsf.pptx
Vasudeo Chaudhari
2 Aufrufe
PRESENTATION of CEH Tools.pptx
AadityaSaxena12
5 Aufrufe
CloudFest 2023 - Unleashing the Power of Innovation: A Game Changer for Your ...
Jan Löffler
4 Aufrufe
class 2B.pptx
VThTho9
3 Aufrufe
TrendMachine: Temporal Resilience of Web Pages
Sawood Alam
4 Aufrufe
Access Control and Maintenance.pptx
Kinetic Potential
9 Aufrufe
Psych_240_-_Leadership_Presentation[1] class version.ppt
PriyaShandilya4
2 Aufrufe
BEAUTY YOUTUBE CHANNEL
AbdullahJasim3
0 Aufrufe
Converted_1679891326269 (2).docx
GopiNath340181
0 Aufrufe
AN-Unit-1-1-Classful-Internet-Addresses.pdf
kaxeca4096
1 Aufruf
25 Folien
BigCommerce Designers, BigCommerce Developers, Bigcommerce development company
Dit_India
4 Aufrufe
11 Folien
keywords.pptx
ssuserd97722
3 Aufrufe
1 Folie
HTTP.pptx
RustamAskaruly
2 Aufrufe
14 Folien
Thesaurus ppt.pptx
ApurvaShyam1
0 Aufrufe
24 Folien
Mitr Sewa.pdf
PVishnu599
2 Aufrufe
12 Folien
Anzeige

パフォーマンスを考慮したプリミティブなTrusted TypesによるClient-Side XSS防御手法

  1. 1. • Web ► • Cross Site Scripting (XSS) ► Web ► Web ► 3 • Client-Side XSS 1
  2. 2. XSS Client-Side XSS • Client-Side XSS ( : DOM Based XSS) [1] 2[1]. IPA, “IPA DOM Based XSS ”, https://www.ipa.go.jp/files/000024729.pdf , 2013
  3. 3. XSS 3 Client-Side XSS [2] HTML XSS Content Security PolicyWeb Application Firewall [2]. Sebastian Lekies, Krzysztof Kotowicz, Samuel Groß, Eduardo A. Vela Nava, Martin Johns, “Code-Reuse Attacks for the Web: Breaking Cross-Site Scripting Mitigations via Script Gadgets”, The ACM CCS, 2017 XSS JavaScript
  4. 4. Client-Side XSS • Client-Side XSS ► [3] ► [4] ► [5] ► … etc 4 JavaScript Web [3]. Ben Stock, Sebastian Lekies, Tobias Mueller, Patrick Spiegel, Martin Johns, “Precise Client-side Protection against DOM-based Cross-Site Scripting”, 23rd USENIX Security Symposium, 2014 [4]. Inian Parameshwaran, Enrico Budianto, Shweta Shinde, “Auto-Patching DOM-based XSS At Scale”, Proceedings of the 2015 10th Joint Meeting on Foundations of Software Engineering, pp. 272-283, 2015. [5]. Marius Musch, Marius Steffens, Sebastian Roth, Ben Stock, Martin Johns. "Scriptprotect: Mitigating unsafe third-party javascript practices", AsiaCCS, 2019.
  5. 5. Trusted Types • [6] ► Trusted Types 5 $('div').innerHTML = '<img src=/ onerror="alert(10)">' // ERROR const escapePolicy = TrustedTypes.createPolicy('mypolicy', { createHTML: (unsafe) => { return unsafe .replace(/&/g, "&amp;") .replace(/</g, "&lt;") .replace(/>/g, "&gt;") } }) const trustedHTML = escapePolicy.createHTML('<img src=/ onerror="alert(10)">') $('div').innerHTML = trustedHTML // SUCCESS [6]. Krzysztof Kotowicz, Mike West, "Trusted Types", https://wicg.github.io/trusted-types/dist/spec/ Web
  6. 6. Trusted Types • 3 ► ► Web ► DOM • Trusted Types JavaScript ► ► Web Web 6
  7. 7. let trusted = "https://example.co.jp/"; let host = location.host; let hash = location.hash; document.writeln(trusted); // SUCCESS document.writeln(host); // ERROR document.writeln(hash); // ERROR Trusted Types • Trusted Types 2 7 1 Trusted Types let trusted = "https://example.co.jp/"; let host = location.host; let hash = location.hash; document.writeln(trusted); // SUCCESS document.writeln(host); // SUCCESS document.writeln(hash); // ERROR Trusted Types Input Source URL document.location baseURI location.hash documentURI location.search window.location location.href
  8. 8. • OSS JavaScript Web ► V8: 7.7.299.11 ► Chromium: 77.0.3865.90 81 2 let trusted = "https://example.co.jp/"; let host = location.host; let hash = location.hash; document.writeln(trusted); document.writeln(host); document.writeln(hash);
  9. 9. • JavaScript • ► 9 Stock [3] Parameshwaran [4] 1 2 Web × Web Web ( ) 7~17% 5% 1.2% 0.4~1.2% 0.16% - 46.2% 10.9%
  10. 10. • ► Trusted Types • 2 URL ? # 10 2 1269 1.1% )) ( 047 12 4 7 36 36 58

×