2012/04/04 水

  • 晴れ
  • 1020
  • 17時上がりで Shibuya.XSS テクニカルトーク#1 行ってきた.

  • 内容と感想とか

    1. ピザうまかった
    2. DOM based XSS の話
      • まあ省略.
    3. x-autocompletetype の話
      • dispatchEvent したらどうなんだろとか,イタチごっこ
      • mala の人が「Operaも Operaも」言ってましたけども,Opera の似たような機能は自動入力ではなくてユーザ入力への補完なので勝手に入力済み情報が盗られるような事無いです
      • 嘘.できた.http://puchi.co/fillin.html.そのフォームの送信先に wand でパスワードが先に補完される様になってると追加で勝手には入らないけど,そうじゃない場合はwand のパスワードと同じ補完対象の黄色い枠が出て wand のアクションで補完されます.
    4. サニタイズ言うぞキャンペーン
      • mixi で xss → 妖狐x僕SS
      • これ正直検索ノイズ
      • jQuery は甘え
      • Closure Template はその文脈では「文字列リテラル 」でなきゃいけないときには使えるけどそうじゃ無い時にはちょっと
    5. オフレコ
      • オフレコ
    6. JS Array Hijacking
      • Opera 11.62 でこのあたり挙動が Firefox 寄りになったはず
    7. LT
      1. mixi scrap challenge
      2. まるまるクローンを用意する話で,攻機の欄外にあった「脳は神経系も含めてだから頭蓋骨の中身だけ入れ替えるとか言うわけには行かない」な話思い出してた
      3. Ajax アプリのXSS対策とか
      4. 入門書が云々のくだりは,JS (client)側で心配すべきこととサーバ側(php?) での話と混ざってませんか
      5. 外部でも内部でも API の戻り値が信頼出来ないこと多々あるから気をつけろってのは有り
      6. CSS attr, long -IP addr
      7. セレクタ駆使すればいろいろ抜けるよてな話.CSP で防げるんだっけ?
      8. ipaddr をそのまま数値で表してもアクセスできるから ‘.’ があるはずみたいなバリデーションは抜かれる
      9. 小ネタ2つ
      10. rootkit 対策.侵入検知とログ重要
      11. img.onerror 最恐
    8. 裏LT
      • admin. とか /test.txt とか見に行くよ.
      • adblock+ で機械的に行ける
      • 「crossdomain.xml はもういいでしょ」
      • ユーザ側のパスワードの使い分けの話.
      • 捨て垢,捨てパスワード,一律ジェネレータ,
      • くよくよDOS
      • hash-dos 的な計算量爆発系 DoS.→ EC2 とかで物量で攻めるほうが簡単じゃね?
      • 大崎から向こうの away 感
      • 2225 くらいに出れば日が変わる前に帰れる