Webセキュリティの過去、現在、そして未来

自己紹介

• @kyo_ago
• セキュリティは趣味なのであんまり鵜呑みにしないでください
• JVN(Japan Vulnerability Notes)、セキュリティホール memoとかをベースにまとめてます
• 「どこまでがWebセキュリティの範囲か」は割と適当です

Webセキュリティの過去

〜2000

〜2000

• ブラウザ自体の問題が多かった
• 「セキュリティのためJavaScriptはoffに」
• 現存していない技術を使った攻撃も多い
• 主な攻撃対象は利用者のOS自体

〜2000

• JavaApplet、ActiveX、VBS、ActiveScript
• chm、mhtml等を利用したメーラ経由の攻撃
• バッファオーバーフロー等危険な攻撃も
• iframeやwindow経由のOriginの詐称

2000〜2003

2000〜2003

• CSSの発展と攻撃手法の開発
• Object要素なども攻撃対象に
• ブラウザ機能を使っているメーラを経由したウィルスの流行（Nimda、Klez）
• 各サイトが「スクリプトによる貼り付け処理」を有効にするよう要求する問題
  （まだ書いてあるサイトある。。。）

2000〜2003

• ネット上のバイナリを自動実行する問題
• ローカルファイルの読み取り問題
• ディレクトリのindexが公開される事例が多数（office氏）
• クロスサイトスクリプティング黎明期
  （Namazu等、著名なものが修正される）
• PHP、Apacheなどへの攻撃も多い

2003〜2005

2003〜2005

• このへんから各サイトが攻撃されるようになる
• SQL、コマンドインジェクション
• クロスサイトスクリプティングの発展
• 画像処理系にいろいろ問題が見つかる
  （GDI+のバッファオーバーフローとか）
• いろいろあったと思うけど、この辺解析断念。。。

2005〜2008

2005〜2008

• SQLインジェクション勃興期
  （多数のサイトが被害を受ける）
• Wiki関係の脆弱性多数
• Flash関係の問題が報告され始める
• E4Xにセキュリティホールが指摘される
• クロスサイトリクエストフォージェリ黎明期
  （ぼくはまちちゃん）
• マルチバイトドメイン（Punycode）問題
• オレオレ認証局問題

2008〜2011

2008〜2011

• Adobe Readerの問題が増える
• E4Xのセキュリティホールが（かなり無理やり）修正される
• クロスサイトリクエストフォージェリ勃興期
• UTF-7を使ったXSS、JSON Hijackingが報告され始める
• クリックジャッキングの登場とブラウザ側の対応

2011〜2013

2011〜2013

• WebViewの発展とネイティブアプリXSS
  （WebViewクラスに関する脆弱性、アドレスバー偽装の脆弱性）
• E4Xのサポートが切られる
• UTF-7のサポートが切られる
• XHR2が一般化。jQuery関係でセキュリティホールの報告が増える（jQuery Mobile等）

〜2014

〜2014

• Java

2014

2014

• Flash経由のJavaScriptを使ったXSS
• 文字コード
• DOM Based XSS
• MitM
• Android WebView
• パスワードリストアタック

Webセキュリティの現在

Webセキュリティの現在

• 安全にはなっている
• 脆弱性懸賞金で新しい攻撃手法が広まりやすくなっているではないか
• ターゲットを絞った攻撃が増えてきた

Webセキュリティの未来

Webセキュリティの未来

• Webのアプリ化。アプリ上であったセキュリティ問題の再現
• 機能追加とパーミッションモデル
• パスワードに変わる認証方法
• MitM前提のセキュリティ対策
• CSPの普及と進化
• IoTとIPv6に伴う直接通信

感想

Webは複雑だ

ご清聴ありがとうございました