Loading…
This event has ended. View the official site or create your own event → Check it out
This event has ended. Create your own
Join us at OWASP AppSec APAC 2014 !!
View analytic
Thursday, March 20 • 10:30am - 11:20am
XSS オールスター・フローム・ジャパン / XSS Allstars from Japan

Sign up or log in to save this to your schedule and see who's attending!

ブラウザを知り尽くした日本を代表するXSS業界の3人がそれぞれXSSの最先端事情やブラウザの知られていないような挙動に起因する脆弱性、珍しいXSS事例の原因や対策などについて、他では聞けない熱い話を展開します。
JavaScriptおよびHTML5による表現力や処理速度の向上、ブラウザ自体の高機能化に伴うWebアプリケーションの複雑化は、同時に複雑な脆弱性の原因ともなっています。
Webアプリケーションの典型的で影響の大きい脆弱性やその対策方法についてはすでに広く議論され情報も出回っていますが、ブラウザ固有のマイナーな挙動や新しい機能を用いた攻撃手法についてはほとんど議論されていないにも関わらず、Webアプリケーションの大規模化によってそういった類の脆弱性を含む可能性が高まっているとも言えます。
例えば、文字コードに起因するWebアプリケーションの脆弱性はここ数年で表面的にはほぼ収束したようにも見えますが、少し掘り下げてみるとまだまだ見どころのある興味深い脆弱性が多数見つかります。本発表では、典型的な問題に関してはバッサリと切り捨て、ブラウザを知り尽くした日本を代表するXSS業界の3人が、マイナーで知る人ぞ知るという脆弱性にフォーカスした話をします。

Three of the most well-known individuals in the XSS field in Japan with thorough knowledge on browsers will discuss the forefront of the conditions of XSS, vulnerabilities resulting from relatively unknown behaviors
in browsers as well as rare and unique XSS issues and solutions that you can't hear anywhere else.
The complication of web applications that goes along with the improvements in the expressiveness and processing speed of JavaScript and HTML5 leading to high-performance in browsers is also responsible for the complication of vulnerabilities.
Although typical and widely seen web application vulnerabilities and their solutions have been extensively discussed, attack methods utilizing from the peculiar minor behavior and new features of browsers have for the most part not been openly discussed. Nevertheless, with the large-scale web applications seen today the chance for these types of vulnerabilities to be present grows increasingly high.  For instance, although vulnerabilities resulting from character codes have been focused on in recent years, there are many other very interesting noteworthy vulnerabilities that we have yet to delve into.
This presentation will completely avoid typical issues and focus on minor vulnerabilities that only those in the know are aware of with discussions by 3 leading specialists at the forefront of the XSS field in Japan with extensive knowledge of browsers.

Speakers
M

mala

LINE株式会社所属。WebアプリケーションやJavaScriptの関わるセキュリティ上の問題について詳しく、自社サービスのセキュリティホールを数多く発見、修正している。また、個人的な活動として国内外の著名サービス/アプリケーションのセキュリティホールを数多く発見、報告している。 | http://ma.la
avatar for Yosuke HASEGAWA

Yosuke HASEGAWA

NetAgent Co.,Ltd.
An engineer at NetAgent Co. Ltd. and technical advisor at Secure Sky | Technology Inc. Known internationally as XSS Ninja, Yosuke is the | author of jjencode and aaencode. He has investigated various security | issues such as those related to character encoding like Unicode causes | and discovered numerous vulnerabilities in various software | applications including Internet Explorer, Mozilla Firefox, etc. He is | also a member... Read More →
avatar for Masato Kinugawa

Masato Kinugawa

バグハンター。著名なWebアプリケーション・主要なブラウザの脆弱性を多数発見。Googleなどの脆弱性報酬制度を実施する企業から受けた支払いは10万ドルを超える。


Thursday March 20, 2014 10:30am - 11:20am
HP Enterprise Security Hall(HALL EAST)

Attendees (11)