Presentation is loading. Please wait.

Presentation is loading. Please wait.

Content-Security-Policy Mar 27 2012 Yosuke HASEGAWA Introduction of in 5 minutes 5分でわかるCSP.

Published byJamal Solomons Modified over 9 years ago

Similar presentations

Presentation on theme: "Content-Security-Policy Mar 27 2012 Yosuke HASEGAWA Introduction of in 5 minutes 5分でわかるCSP."— Presentation transcript:

1 Content-Security-Policy Mar 27 2012 Yosuke HASEGAWA Introduction of in 5 minutes 5分でわかるCSP

2 what's CSP ?

3

4

5 以上。

6 5秒で終わった!

7 もうちょっとまじめに。

8 NetAgent http://www.netagent.co.jp/ OWASP Japan 1st meeting Content-Security-Policy CSP - Content-Security-Policy  XSS根絶の切り札  Firefox 4+, Google Chrome 18+,...  指定された以外のリソースが読めない...  インラインスクリプトが禁止される alert(1)... NG  evalやイベント属性の禁止... NG

9 NetAgent http://www.netagent.co.jp/ OWASP Japan 1st meeting Content-Security-Policy  レスポンスヘッダで許可するリソースを 指定  'self' は同一ドメイン、同一ポートのみ許可  での指定も可(上書きは不可)  FirefoxとWebKitでヘッダ名が異なる ※長いので以降X-WebKit-CSPのみ例示 Content-Security-Policy: default-src 'self' X-WebKit-CSP: default-src 'self' Content-Security-Policy: default-src 'self' X-WebKit-CSP: default-src 'self'

10 NetAgent http://www.netagent.co.jp/ OWASP Japan 1st meeting Content-Security-Policy  リソースの種類ごとに指定可能 X-WebKit-CSP: default-src 'self'; img-src *.example.jp OK NG OK NG OK NG OK NG

11 NetAgent http://www.netagent.co.jp/ OWASP Japan 1st meeting Content-Security-Policy  リソースの種類ごとに指定可能 Firefoxは未サポート X-WebKit-CSP: default-src 'self'; script-src: 'unsafe-inline' function foo(){... } OK OK function foo(){... } OK OK

12 NetAgent http://www.netagent.co.jp/ OWASP Japan 1st meeting Content-Security-Policy  ポリシー違反時にレポート送信 X-WebKit-CSP: default-src 'self'; report-uri http://example.jp/cspreport.cgi X-Content-Securit-Policy-Report-Only: default-src 'self' report-uri http://example.jp/cspreport.cgi X-WebKit-CSP-Report-Only: default-src 'self' report-uri http://example.jp/cspreport.cgi X-Content-Securit-Policy-Report-Only: default-src 'self' report-uri http://example.jp/cspreport.cgi X-WebKit-CSP-Report-Only: default-src 'self' report-uri http://example.jp/cspreport.cgi

13 NetAgent http://www.netagent.co.jp/ OWASP Japan 1st meeting Content-Security-Policy  きちんと指定することで第三者によるリ ソースの読み込みを確実にブロック可能  広告やアクセス解析用JS、JSライブラリ などが動かなくなることも  運用はかなりめんどくさい  W3C Working Draft / Editors Draft / 各ブラウザ実装それぞれで差異

14 NetAgent http://www.netagent.co.jp/ OWASP Japan 1st meeting References  Introducing Content Security Policy - MDN https://developer.mozilla.org/en/Introducing_Content_Security_Policy  Content Security Policy W3C Working Draft 29 November 2011 http://www.w3.org/TR/CSP/  Content Security Policy W3C Editor's Draft 21 March 2012 https://dvcs.w3.org/hg/content-security-policy/raw-file/tip/csp- specification.dev.html  O'Reilly Japan - Firefox Hacks Rebooted http://www.oreilly.co.jp/books/9784873114972/

15 5分で終わった! →発表枠 : 実は10分!! もうちょっとだけ続くんじゃ

16 Content-Security-Policy Mar 27 2012 Yosuke HASEGAWA Breaking in 5 minutes 5分でやぶるCSP

17 NetAgent http://www.netagent.co.jp/ OWASP Japan 1st meeting Breaking CSP  もっとも厳しい制約  他のドメインのリソースは読み込めない  インラインのJSは利用不可  XSSがあっても何もできないに等しい Content-Security-Policy: default-src 'self' X-WebKit-CSP: default-src 'self' Content-Security-Policy: default-src 'self' X-WebKit-CSP: default-src 'self'

18 NetAgent http://www.netagent.co.jp/ OWASP Japan 1st meeting Breaking CSP  XSSがあるのに何もできないのは悔しい!! Content-Security-Policy: default-src 'self' X-WebKit-CSP: default-src 'self' Content-Type: text/html; charset=utf-8 XSS here... Content-Security-Policy: default-src 'self' X-WebKit-CSP: default-src 'self' Content-Type: text/html; charset=utf-8 XSS here...

19 E4X - necromancy Firefox only

20 NetAgent http://www.netagent.co.jp/ OWASP Japan 1st meeting E4X - ECMAScript for XML  E4X - Firefoxのみサポート  JavaScript内で”XML型”をサポート var xml = Yosuke hasegawa@utf-8.jp ; alert( xml.name ); var xml = Yosuke hasegawa@utf-8.jp ; alert( xml.name );

21 NetAgent http://www.netagent.co.jp/ OWASP Japan 1st meeting Breaking CSP  自分自身(HTML)は読み込み可能! Content-Security-Policy: default-src 'self' X-WebKit-CSP: default-src 'self' Content-Type: text/html; charset=utf-8 Content-Security-Policy: default-src 'self' X-WebKit-CSP: default-src 'self' Content-Type: text/html; charset=utf-8

22 NetAgent http://www.netagent.co.jp/ OWASP Japan 1st meeting Breaking CSP  HTMLをJavaScriptと解釈させれば! 2つのXMLリテラルを含むJavaScriptとしてvalid ; alert(1); ; alert(1);

23 NetAgent http://www.netagent.co.jp/ OWASP Japan 1st meeting Breaking CSP  自分自身(HTML)は読み込み可能! Content-Security-Policy: default-src 'self' X-WebKit-CSP: default-src 'self' Content-Type: text/html; charset=utf-8 <script src= "self.html?q=%3C/div%3E...%3C/html%3E;alert(1);..." > Content-Security-Policy: default-src 'self' X-WebKit-CSP: default-src 'self' Content-Type: text/html; charset=utf-8 <script src= "self.html?q=%3C/div%3E...%3C/html%3E;alert(1);..." >

24 NetAgent http://www.netagent.co.jp/ OWASP Japan 1st meeting Breaking CSP  E4Xを使うとHTMLをJSとして解釈可能  XML宣言、doctype宣言があると駄目  ちゃんとdoctype宣言つけておこう  そもそもXSSをなくそう  CSP使いこなすとXSSのリスクは大幅減!

25 NetAgent http://www.netagent.co.jp/ OWASP Japan 1st meeting Question? hasegawa@utf-8.jp hasegawa@netagent.co.jp @hasegawayosuke http://utf-8.jp/

26

Download ppt "Content-Security-Policy Mar 27 2012 Yosuke HASEGAWA Introduction of in 5 minutes 5分でわかるCSP."

Similar presentations

OWASP Japan 2 nd local chapter meeting Short talk of XSS Jun 27 2012 Yosuke HASEGAWA 短いXSSの話.

OWASP Japan 2 nd local chapter meeting Short talk of XSS Jun Yosuke HASEGAWA 短いXSSの話.
JS Array Hijacking with MBCS encodings JS Array Hijacking with MBCS encodings MBCS文字コードを使ったJS配列の乗っ取り Apr 4 2012 Yosuke HASEGAWA.

JS Array Hijacking with MBCS encodings JS Array Hijacking with MBCS encodings MBCS文字コードを使ったJS配列の乗っ取り Apr Yosuke HASEGAWA.
AIR マスターへの 抜け道!? ~といいつつ王道話です~ 平成 20 年 2 月 6 日 図書系のための アプリケーション開発講習会.

AIR マスターへの 抜け道!? ~といいつつ王道話です~ 平成 20 年 2 月 6 日 図書系のための アプリケーション開発講習会.
SPSSによるHosmer-Lemeshow検定について

SPSSによるHosmer-Lemeshow検定について
あなたは真夜中に 山の頂上を目指す登山者です

あなたは真夜中に 山の頂上を目指す登山者です
7.n次の行列式   一般的な(n次の)行列式の定義には、数学的な概念がいろいろ必要である。まずそれらを順に見ていく。

7.n次の行列式   一般的な(n次の)行列式の定義には、数学的な概念がいろいろ必要である。まずそれらを順に見ていく。
9.線形写像.

9.線形写像.
学生の携帯電話選択理由 岡田隆太.

学生の携帯電話選択理由 岡田隆太.
時間的に変化する信号. 普通の正弦波 は豊富な情報を含んでいません これだけではラジオのような複雑な情報 を送れない 振幅 a あるいは角速度 ω を時間的に変化 させて情報を送る.

時間的に変化する信号. 普通の正弦波 は豊富な情報を含んでいません これだけではラジオのような複雑な情報 を送れない 振幅 a あるいは角速度 ω を時間的に変化 させて情報を送る.
九州大学 岡村研究室 久保 貴哉 1. 利用中のAPの数の推移 2 横軸:時刻 縦軸:接続要求数 ・深夜では一分間で平均一台、 昼間では平均14台程度の接続 要求をAPが受けている。 ・急にAPの利用者数が増えてく るのは7~8時あたり.

九州大学 岡村研究室 久保 貴哉 1. 利用中のAPの数の推移 2 横軸:時刻 縦軸:接続要求数 ・深夜では一分間で平均一台、 昼間では平均14台程度の接続 要求をAPが受けている。 ・急にAPの利用者数が増えてく るのは7~8時あたり.
5.連立一次方程式.

5.連立一次方程式.
相関.

相関.
―本日の講義― ・平均と分散 -代表値 -ぱらつき(分散・標準偏差等) ・Excelによる演習

―本日の講義― ・平均と分散 -代表値 -ぱらつき(分散・標準偏差等) ・Excelによる演習
ノイズ. 雑音とも呼ばれる。(音でなくても、雑 音という) 入力データに含まれる、本来ほしくない 成分.

ノイズ. 雑音とも呼ばれる。(音でなくても、雑 音という) 入力データに含まれる、本来ほしくない 成分.
広告付き価格サービ ス 06-1-016-0905 小園一正. はじめに 世の中には様々な表現方法の広告があり ます。その中でも私たち学生にとって身 近にあるものを広告媒体として取り入れ られている。 価格サービス(無料配布のルーズリー フ)を体験したことにより興味を惹かれ るきっかけとなった。主な目的は、これ.

広告付き価格サービ ス 小園一正. はじめに 世の中には様々な表現方法の広告があり ます。その中でも私たち学生にとって身 近にあるものを広告媒体として取り入れ られている。 価格サービス(無料配布のルーズリー フ)を体験したことにより興味を惹かれ るきっかけとなった。主な目的は、これ.
素数判定法 2011/6/20.

素数判定法 2011/6/20.
1章 行列と行列式.

1章 行列と行列式.
フーリエ級数. 一般的な波はこのように表せる a,b をフーリエ級数とい う 比率: 0 0 0 0 0 0 1 1 0 0.

フーリエ級数. 一般的な波はこのように表せる a,b をフーリエ級数とい う 比率:
プログラミング入門2 第4回 式文 代入式 論理演算子 ループの脱出、スキップ 情報工学科 篠埜 功.

プログラミング入門2 第4回 式文 代入式 論理演算子 ループの脱出、スキップ 情報工学科 篠埜 功.
3.エントロピーの性質と各種情報量.

3.エントロピーの性質と各種情報量.

Similar presentations

Ads by Google