OWASP AppSec APAC 2014で発表しました

OWASP AppSec APAC 2014 で、Masato Kinugawaさん、malaさんと一緒に、「XSS Allstars from Japan」という枠で登壇しました。3人それぞれ好きなテーマについて発表をしたのですが、僕は、Masato Kinugawaさんが活用していた、Tabular Data Controlについて発表しました。

スライドは以下で公開されています。

Bypass SOP, Theft your data // Speaker Deck

Masato Kinugawaさんのスライドはこちら: The Complete Investigation of Encoding and Security // Speaker Deck
malaさんのスライドはこちら: XSS with HTML parsing confusion // Speaker Deck

TDCではないVBScriptのエラーメッセージに関する調査結果は以下で公開しています。
http://d.hatena.ne.jp/hasegawayosuke/20130517/p1

結果に変更があり次第、更新していきます。
もともとMasato Kinugawaさんの発表を聞きたくて無理やり3人でスピーカー枠に応募しただけなので、荒い部分もあるかもしれません。おかしなところがあれば教えてください。

以下、発表では伝えきれなかったこと、確実に伝えたいことを Q & A 形式でお送りします。

Q.
VBScriptのやつ、もっと詳しく知りたいんだけど。
A.
このへんこのへんを読んでください。

Q.
わたしは開発者です。手っ取り早く、すべきことはなに?
A.
まず僕にファンレターを送ってください。そして、X-Content-Type-Options: nosniffをレスポンスヘッダで確実に指定してください。

Q.
VBScriptのやつ、IE11は平気なの?
A.
試した範囲ではIE11では大丈夫でした。

Q.
TDCのやつ、IE11でドキュメントモードをエッジモードにしていたら平気なの?
A.
ドキュメントモードを指定するのは攻撃者の指定した罠ページ上なのでIE11を使っていてもダメです。




その他、疑問点などありましたら言って頂ければお答えします。


OWASP AppSec APAC 2014に関わった皆様、お疲れ様でした。
スタッフの方々、撮影の不可など、ご配慮いただきましてありがとうございました。
一緒に発表したmalaさん、発表寸前まで行方不明で、どうなるか不安でした。ありがとうございました。
同時通訳の方、しゃべるの早すぎるし、言葉が滑らかにでてこないしで、 相当大変だったと思います。発表中は通訳さんのことを考えている余裕がありませんでした…。大変ご迷惑をおかけしました。ありがとうございました。
最後に、拙い発表を聴いて下さったたくさんの方々、ありがとうございました。

このような素晴らしいイベントに関われて本当に嬉しいです。

(参考文献:Masato Kinugawa Security Blog: OWASP AppSec APAC 2014で発表しました)