OWASP AppSec APAC 2014

ブラウザを知り尽くした日本を代表するXSS業界の3人がそれぞれXSSの最先端事情やブラウザの知られていないような挙動に起因する脆弱性、珍しいXSS事例の原因や対策などについて、他では聞けない熱い話を展開します。
JavaScriptおよびHTML5による表現力や処理速度の向上、ブラウザ自体の高機能化に伴うWebアプリケーションの複雑化は、同時に複雑な脆弱性の原因ともなっています。
Webアプリケーションの典型的で影響の大きい脆弱性やその対策方法についてはすでに広く議論され情報も出回っていますが、ブラウザ固有のマイナーな挙動や新しい機能を用いた攻撃手法についてはほとんど議論されていないにも関わらず、Webアプリケーションの大規模化によってそういった類の脆弱性を含む可能性が高まっているとも言えます。
例えば、文字コードに起因するWebアプリケーションの脆弱性はここ数年で表面的にはほぼ収束したようにも見えますが、少し掘り下げてみるとまだまだ見どころのある興味深い脆弱性が多数見つかります。本発表では、典型的な問題に関してはバッサリと切り捨て、ブラウザを知り尽くした日本を代表するXSS業界の3人が、マイナーで知る人ぞ知るという脆弱性にフォーカスした話をします。

Three of the most well-known individuals in the XSS field in Japan with thorough knowledge on browsers will discuss the forefront of the conditions of XSS, vulnerabilities resulting from relatively unknown behaviors
in browsers as well as rare and unique XSS issues and solutions that you can't hear anywhere else.
The complication of web applications that goes along with the improvements in the expressiveness and processing speed of JavaScript and HTML5 leading to high-performance in browsers is also responsible for the complication of vulnerabilities.
Although typical and widely seen web application vulnerabilities and their solutions have been extensively discussed, attack methods utilizing from the peculiar minor behavior and new features of browsers have for the most part not been openly discussed. Nevertheless, with the large-scale web applications seen today the chance for these types of vulnerabilities to be present grows increasingly high.  For instance, although vulnerabilities resulting from character codes have been focused on in recent years, there are many other very interesting noteworthy vulnerabilities that we have yet to delve into.
This presentation will completely avoid typical issues and focus on minor vulnerabilities that only those in the know are aware of with discussions by 3 leading specialists at the forefront of the XSS field in Japan with extensive knowledge of browsers.