Content-Security-Policy Mar 27 2012 Yosuke HASEGAWA Introduction of in 5 minutes 5分でわかるCSP.

Slides:



Advertisements
Similar presentations
OWASP Japan 2 nd local chapter meeting Short talk of XSS Jun Yosuke HASEGAWA 短いXSSの話.
Advertisements

JS Array Hijacking with MBCS encodings JS Array Hijacking with MBCS encodings MBCS文字コードを使ったJS配列の乗っ取り Apr Yosuke HASEGAWA.
AIR マスターへの 抜け道!? ~といいつつ王道話です~ 平成 20 年 2 月 6 日 図書系のための アプリケーション開発講習会.
SPSSによるHosmer-Lemeshow検定について
あなたは真夜中に 山の頂上を目指す登山者です
7.n次の行列式   一般的な(n次の)行列式の定義には、数学的な概念がいろいろ必要である。まずそれらを順に見ていく。
9.線形写像.
学生の携帯電話選択理由 岡田隆太.
時間的に変化する信号. 普通の正弦波 は豊富な情報を含んでいません これだけではラジオのような複雑な情報 を送れない 振幅 a あるいは角速度 ω を時間的に変化 させて情報を送る.
九州大学 岡村研究室 久保 貴哉 1. 利用中のAPの数の推移 2 横軸:時刻 縦軸:接続要求数 ・深夜では一分間で平均一台、 昼間では平均14台程度の接続 要求をAPが受けている。 ・急にAPの利用者数が増えてく るのは7~8時あたり.
5.連立一次方程式.
相関.
―本日の講義― ・平均と分散 -代表値 -ぱらつき(分散・標準偏差等) ・Excelによる演習
ノイズ. 雑音とも呼ばれる。(音でなくても、雑 音という) 入力データに含まれる、本来ほしくない 成分.
広告付き価格サービ ス 小園一正. はじめに 世の中には様々な表現方法の広告があり ます。その中でも私たち学生にとって身 近にあるものを広告媒体として取り入れ られている。 価格サービス(無料配布のルーズリー フ)を体験したことにより興味を惹かれ るきっかけとなった。主な目的は、これ.
素数判定法 2011/6/20.
1章 行列と行列式.
フーリエ級数. 一般的な波はこのように表せる a,b をフーリエ級数とい う 比率:
プログラミング入門2 第4回 式文 代入式 論理演算子 ループの脱出、スキップ 情報工学科 篠埜 功.
3.エントロピーの性質と各種情報量.
Excelによる積分.
1 6.低次の行列式とその応用. 2 行列式とは 行列式とは、正方行列の特徴を表す一つのスカ ラーである。すなわち、行列式は正方行列からスカ ラーに写す写像の一種とみなすこともできる。 正方行列 スカラー(実数) の行列に対する行列式を、 次の行列式という。 行列 の行列式を とも表す。 行列式と行列の記号.
計算のスピードアップ コンピュータでも、sin、cosの計算は大変です 足し算、引き算、掛け算、割り算は早いです
1 0章 数学基礎. 2 ( 定義)集合 集合については、 3セメスタ開講の「離散数学」で詳しく扱う。 集合 大学では、高校より厳密に議論を行う。そのために、議論の 対象を明確にする必要がある。 ある “ もの ” (基本的な対象、概念)の集まりを、 集合という。 集合に含まれる “ もの ” を、集合の要素または元という。
4.プッシュダウンオートマトンと 文脈自由文法の等価性
1 0章 数学基礎. 2 ( 定義)集合 集合については、 3セメスタ開講の「離散数学」で詳しく扱う。 集合 大学では、高校より厳密に議論を行う。そのために、議論の 対象を明確にする必要がある。 ある “ もの ” (基本的な対象、概念)の集まりを、 集合という。 集合に含まれる “ もの ” を、集合の要素または元という。
システムプログラム論 課題 大村 廉. 課題 Java を用いて Producer / Consumer 問題を解決する MyBuffer クラスを –Synchronized キーワード –Semaphore クラス (java.util.concurrent.Semaphore) を用いてそれぞれ作りなさい.
信号測定. 正弦波 多くの場合正弦波は 0V の上下で振動する しかし、これでは AD 変換器に入れら れないので、オフ セットを調整して データを取った.
1 9.線形写像. 2 ここでは、行列の積によって、写像を 定義できることをみていく。 また、行列の積によって定義される写 像の性質を調べていく。
3.プッシュダウンオートマトンと 文脈自由文法
“KING OF POPS” 田口健太郎. 調査  調査内容:マイケ ル・ジャクソンがど のような人生を歩ん できたか  調査方法:インター ネット  問題点:彼の容姿の 変化について、一部 誤解が生じている部 分がある.
ビット. 十進数と二進数 十進数  0から9までの数字を使って 0、1、2、3、4、5、6、7、8、9、 10、11、12 と数える 二進数  0と1を使って 0、1、10、11、100、101、11 0、111 と数える.
A 「喫煙率が下がっても肺ガン死亡率が減っていないじゃな いか」 B 「喫煙を減らしてもガン減るかどうか疑問だ 」 1.
3.正方行列(単位行列、逆行列、対称行列、交代行列)
学習者の意欲を高める音読指導の 一時例 1 Speak を使った 音読指導 鈴木政浩(西武文理大学)
JPN 312 (Fall 2007): Conversation and Composition Contraction (2); 意見を言う (to express your opinion)
SUPJ2010 Japanese Ⅱ( A ) Elementary Japanes e ‐ in twenty hours- Chapter 7.
Three-Year Course Orientation International Course.
JPN 311: Conversation and Composition 勧誘 (invitation)
7班 加地 健太郎 (MadaiPage 担当) 熊谷 勇人( MapPage 担当) 田原春 勝太 (TopPage 担当) 森 健樹(パワーポイント、 photo 担当)
戦う ML 菊地時夫 (Mailman Cabal) (2005/9/17 Open Source Conference 2005)
JPN 311: Conversation and Composition 伝言 (relaying a message)
JPN 311: Conversation and Composition 許可 (permission)
地図に親しむ 「しゅくしゃくのちがう 地図を 使ってきょりを調べよ う1」 小学4年 社会. 山口駅裁判所 県立 美術館 サビエル 記念聖堂 山口市役所 地図で探そう 市民会館 県立 図書館.
C言語応用 構造体.
Servlet 入門 大岩研究室 川村昌弘. そもそも WEB アプリってなんやね ん n この研究会のテーマは『 WEB アプリケー ションの開発』でした. n じゃぁ WEB アプリケーションって何です か? o WEB アプリってどんなものがありますか? 検索エンジン 乗換え案内サイト 翻訳.
実装の流れと 今後のスケジュール 03k0014 岸原 大祐. システム概要 天気データをもとに、前向き推論をし ていき、親の代わりに子供に服装、持 ち物、気をつけることなどを教える。
JPN 312 (Fall 2007): Conversation and Composition 文句 ( もんく ) を言う.
SUPJ2010 Japanese Ⅱ( A ) Elementary Japanes e ‐ in twenty hours- Chapter 8.
HKS Analysis Log Jul 2006 Part1 D.Kawama. 第壱部 HKS Sieve Slit Analysis.
プログラミングⅠ( 2 組) 第 1 回 / pLB1.pptx.
漢字練習 第7課第7課第7課第7課. しる 知る まつ 待つ もつ 持つ まつ 待つ しる 知る.
地図に親しむ 「じっさいのけしきと 地図をくらべよう」
「ネット社会の歩き方」レッスンキット プレゼンテーション資料集 15. チャットで個人情報は 言わない プレゼンテーション資料 著作権は独立行政法人情報処理推進機構( IPA )及び経済産業省に帰属します。
プログラミング入門2 第3回 複合文、繰り返し 情報工学科 篠埜 功.
第14回 プログラムの意味論と検証(3) 不動点意味論 担当:犬塚
ことばとコンピュータ 2007 年度 1 学期 第 1 回. 2 ことばとコンピュータ 授業科目名:言語情報処理論 授業題目名:ことばとコンピュータ 履修コード: 5067 教室: 323 一学期開講 授業の進め方 – 基本的に講義中心ですすめ,時々コンピュー タを使う.
Hiragana dan Katakana Hiragana dan Katakana Pertemuan 1 Matakuliah: N Bahasa Jepang l (Nihongo I) Tahun: 2008.
LANG3910 Japanese Ⅲ Lesson 14 依頼・現在進行形. 学習項目 1. 「て -form 」 2. 依頼表現 An expression of request 3. 相手の意向を尋ねる Ask someone’s mind 4. 現在進行形 Actions in Progress.
親子のための 日時: 年 月 日( ) 講師: 小学校 児童用. はじめに 2 近くの人と 「4人グループ」 を作ってください。 100までの数字の中から 「好きな数字」 を1つ決めてください。
Exercise IV-A p.164. What did they say? 何と言ってましたか。 1.I’m busy this month. 2.I’m busy next month, too. 3.I’m going shopping tomorrow. 4.I live in Kyoto.
音の変化を視覚化する サウンドプレイヤーの作成
HCC Hair Color Change. メンバー ソ 渋谷麻美 ソ 渋谷麻美 ソ 清野理衣子 ソ 清野理衣子 ソ 三上貴大 ソ 三上貴大.
親子のための 児童用. 2 まずは、 100までの数字の中から 「好きな数字」 を 1つ決めてください。 近くの人と 「4人グループ」を 作ってください。
本文. 考えながら読みましょ う 「いろいろなこと」( 3 行目)は何で すか 「①電話料金はコンビニで支払いをしていま す。いつでも払えますから、便利です。」 「②夕食はコンビニで買います。お弁当やお かずがいろいろありますから。」今、若者に 人気のあるコンビニは、いろいろなことをす るのに非常に便利な場所になった。
たくさんの人がいっしょに乗れる乗り物を 「公共交通」といいます バスや電車 と 自動車 の よいところ と よくない ところ よいところ と よくない ところ を考えてみよう!
Useful daily expressions
B 04 How to Type in Japanese How do you TYPE in Japanese?
雪 ゆき. 雪や こんこ ゆき.
心臓および肝臓移植会社. 心臓移植は非常に複雑な 手技であり、 zoukiishoku119 は候補者の 評価から手技後のケアま で、各患者の治療に協力 チームアプローチをとっ ています。私たちの多分 野の移植グループには、 心臓専門医、心臓外科医、 看護師、心臓リハビリ専 門家、ソーシャルワー カーが含まれます。これ.
Presentation transcript:

Content-Security-Policy Mar Yosuke HASEGAWA Introduction of in 5 minutes 5分でわかるCSP

what's CSP ?

以上。

5秒で終わった!

もうちょっとまじめに。

NetAgent OWASP Japan 1st meeting Content-Security-Policy CSP - Content-Security-Policy  XSS根絶の切り札  Firefox 4+, Google Chrome 18+,...  指定された以外のリソースが読めない...  インラインスクリプトが禁止される alert(1)... NG  evalやイベント属性の禁止... NG

NetAgent OWASP Japan 1st meeting Content-Security-Policy  レスポンスヘッダで許可するリソースを 指定  'self' は同一ドメイン、同一ポートのみ許可  での指定も可(上書きは不可)  FirefoxとWebKitでヘッダ名が異なる ※長いので以降X-WebKit-CSPのみ例示 Content-Security-Policy: default-src 'self' X-WebKit-CSP: default-src 'self' Content-Security-Policy: default-src 'self' X-WebKit-CSP: default-src 'self'

NetAgent OWASP Japan 1st meeting Content-Security-Policy  リソースの種類ごとに指定可能 X-WebKit-CSP: default-src 'self'; img-src *.example.jp OK NG OK NG OK NG OK NG

NetAgent OWASP Japan 1st meeting Content-Security-Policy  リソースの種類ごとに指定可能 Firefoxは未サポート X-WebKit-CSP: default-src 'self'; script-src: 'unsafe-inline' function foo(){... } OK OK function foo(){... } OK OK

NetAgent OWASP Japan 1st meeting Content-Security-Policy  ポリシー違反時にレポート送信 X-WebKit-CSP: default-src 'self'; report-uri X-Content-Securit-Policy-Report-Only: default-src 'self' report-uri X-WebKit-CSP-Report-Only: default-src 'self' report-uri X-Content-Securit-Policy-Report-Only: default-src 'self' report-uri X-WebKit-CSP-Report-Only: default-src 'self' report-uri

NetAgent OWASP Japan 1st meeting Content-Security-Policy  きちんと指定することで第三者によるリ ソースの読み込みを確実にブロック可能  広告やアクセス解析用JS、JSライブラリ などが動かなくなることも  運用はかなりめんどくさい  W3C Working Draft / Editors Draft / 各ブラウザ実装それぞれで差異

NetAgent OWASP Japan 1st meeting References  Introducing Content Security Policy - MDN  Content Security Policy W3C Working Draft 29 November  Content Security Policy W3C Editor's Draft 21 March specification.dev.html  O'Reilly Japan - Firefox Hacks Rebooted

5分で終わった! →発表枠 : 実は10分!! もうちょっとだけ続くんじゃ

Content-Security-Policy Mar Yosuke HASEGAWA Breaking in 5 minutes 5分でやぶるCSP

NetAgent OWASP Japan 1st meeting Breaking CSP  もっとも厳しい制約  他のドメインのリソースは読み込めない  インラインのJSは利用不可  XSSがあっても何もできないに等しい Content-Security-Policy: default-src 'self' X-WebKit-CSP: default-src 'self' Content-Security-Policy: default-src 'self' X-WebKit-CSP: default-src 'self'

NetAgent OWASP Japan 1st meeting Breaking CSP  XSSがあるのに何もできないのは悔しい!! Content-Security-Policy: default-src 'self' X-WebKit-CSP: default-src 'self' Content-Type: text/html; charset=utf-8 XSS here... Content-Security-Policy: default-src 'self' X-WebKit-CSP: default-src 'self' Content-Type: text/html; charset=utf-8 XSS here...

E4X - necromancy Firefox only

NetAgent OWASP Japan 1st meeting E4X - ECMAScript for XML  E4X - Firefoxのみサポート  JavaScript内で”XML型”をサポート var xml = Yosuke ; alert( xml.name ); var xml = Yosuke ; alert( xml.name );

NetAgent OWASP Japan 1st meeting Breaking CSP  自分自身(HTML)は読み込み可能! Content-Security-Policy: default-src 'self' X-WebKit-CSP: default-src 'self' Content-Type: text/html; charset=utf-8 Content-Security-Policy: default-src 'self' X-WebKit-CSP: default-src 'self' Content-Type: text/html; charset=utf-8

NetAgent OWASP Japan 1st meeting Breaking CSP  HTMLをJavaScriptと解釈させれば! 2つのXMLリテラルを含むJavaScriptとしてvalid ; alert(1); ; alert(1);

NetAgent OWASP Japan 1st meeting Breaking CSP  自分自身(HTML)は読み込み可能! Content-Security-Policy: default-src 'self' X-WebKit-CSP: default-src 'self' Content-Type: text/html; charset=utf-8 <script src= "self.html?q=%3C/div%3E...%3C/html%3E;alert(1);..." > Content-Security-Policy: default-src 'self' X-WebKit-CSP: default-src 'self' Content-Type: text/html; charset=utf-8 <script src= "self.html?q=%3C/div%3E...%3C/html%3E;alert(1);..." >

NetAgent OWASP Japan 1st meeting Breaking CSP  E4Xを使うとHTMLをJSとして解釈可能  XML宣言、doctype宣言があると駄目  ちゃんとdoctype宣言つけておこう  そもそもXSSをなくそう  CSP使いこなすとXSSのリスクは大幅減!

NetAgent OWASP Japan 1st meeting Question? @hasegawayosuke