[CB16] Esoteric Web Application Vulnerabilities by Andrés Riancho

Presented on Hacktivity 2018 conference - https://www.hacktivity.com/bug-hunting-adobe-experience-manage.

The report considers analysis of modern Web Application Firewalls. The author provides comparison of attack detection algorithms and discusses their advantages and disadvantages. The talk includes examples of bypassing protection mechanisms. The author points out the necessity of discovering a universal method of masquerading for vectors of various attacks via WAFs for different algorithms.

Various techniques of TLS Redirection / Virtual Host Confusion attacks https://github.com/GrrrDog/TLS-Redirection

Although web application firewall (WAF) solutions are very useful to prevent common or automated attacks, most of them are based on blacklist approaches and are still far from perfect. This talk illustrates a number of creative techniques to smuggle and reshape HTTP requests using the strange behaviour of web servers and features such as request encoding or HTTP pipelining. These methods can come in handy when testing a website behind a WAF and can help penetration testers and bug bounty hunters to avoid drama and pain! Knowing these techniques is also beneficial for the defence team in order to design appropriate mitigation techniques. Additionally, it shows why developers should not solely rely on WAFs as the defence mechanism. Finally, an open source Burp Suite extension will be introduced that can be used to assess or bypass a WAF solution using some of the techniques discussed in this talk. The plan is to keep improving this extension with the help of the http.ninja project.

Top Ten Web Hacking Techniques of 2008: "What's possible, not probable" The polls are closed, votes are in, and we have the winners making up the Top Ten Web Hacking Techniques of 2008! The competition was fierce with the newest and most innovative web hacking techniques to the test. This session will review the top ten hacks from 2008 - what they indicate about the security of the web, what they mean for businesses, and what might be used against us soon down the road.

This document summarizes techniques for attacking the frontend security of websites. It discusses DOM-based cross-site scripting using sinks like document.write and sources like document.URL. It also covers information leaks through JavaScript, CSS, and framework templates. Other topics include JSONP, Flash, HTML5 features like postMessage, and mitigations like content security policy. The presentation encourages keeping frameworks updated and checking for newer attacks on older vulnerabilities. It provides examples of complex cross-domain policy and JSONP attacks.

This presentation illustrates a number of techniques to smuggle and reshape HTTP requests using features such as HTTP Pipelining that are not normally used by testers. The strange behaviour of web servers with different technologies will be reviewed using HTTP versions 1.1, 1.0, and 0.9 before HTTP v2 becomes too popular! Some of these techniques might come in handy when dealing with a dumb WAF or load balancer that blocks your attacks. Presented @ BSides Manchester 2017 & SteelCon 2017

Speakers: Matt Johansen, Johnathan Kuskos Language: English Every year the security community produces a stunning number of new Web hacking techniques. Now in its 9th year, the Top 10 Web Hacking Techniques list encourages information and knowledge sharing and recognizes researchers who contribute excellent work. In this talk, we will do a technical deep dive and take you through the Top 10 Web Hacks of 2014, as picked by an expert panel of judges. The full list is available here: https://blog.whitehatsec.com/top-10-web-hacking-techniques-of-2014/ CONFidence: http://confidence.org.pl/pl/

The document discusses attacking Oracle databases using Metasploit. It provides an overview of the current Metasploit support for Oracle and new support being added, including TNS and Oracle mixins to simplify interactions. It then outlines an Oracle attack methodology involving locating systems, determining version/SID, bruteforcing credentials, escalating privileges via SQL injection in default packages, manipulating data, and covering tracks. Examples are given of modules that implement each part of the methodology.

Video recording of the talk: https://connect.ruhr-uni-bochum.de/p3g2butmrt4/ HTML5 is quickly gaining media attention and popularity among browser vendors and web developers. Having tremendous features, together with its sister specifications like Drag & Drop API, File API or Geolocation it allows developers to build rich web applications that easily blend with desktop & mobile environments. The talk will be focused on finding the weakest link and combining several recent attack techniques to turn a security vulnerability into a successful exploit. We'll show how to build a successful advanced UI-Redressing attack (also known as clickjacking), presenting the latest findings in this field, including malicious games and quizes. We'll work on file upload functionalities in current web applications and see how attackers might use HTML5 APIs for their advantage. Putting all these building blocks together will enable us to launch an attack and exploit even the otherwise unexploitable vulnerabilities.

XPC is a well-known interprocess communication mechanism used on Apple devices. Abusing XPC led to many severe bugs, including those used in jailbreaks. While the XPC bugs in Apple's components are harder and harder to exploit, did we look at non-Apple apps on macOS? As it turns out, vulnerable apps are everywhere - Anti Viruses, Messengers, Privacy tools, Firewalls, and more. This presentation: 1.Explain how XPC/NSXPC work 2.Present you some of my findings in popular macOS apps (e.g. local privilege escalation to r00t) 3.Abuse an interesting feature on Catalina allowing to inject an unsigned dylib 4.Show you how to fix that vulnz finally!

This document discusses various techniques for securing AngularJS applications, including authenticating users via API endpoints, using services for session management, interceptors for authentication, and resolving routes. It also covers preventing CSRF and XSS attacks using tokens, sanitizing untrusted data, and tools for security audits. Recommendations are to make security decisions on the server, protect services, and use security HTTP headers while being careful with untrusted client-side data.

This document summarizes security issues in PHP applications. It discusses three lesser known vulnerabilities: 1) PHP path normalization can be bypassed on Windows through special characters like double dots and pipes, allowing access to files outside the web root. 2) Double-byte character sets can be escaped to bypass input validation in SQL injection and XSS attacks. 3) Variables in double quotes undergo string evaluation, which can enable code injection through functions like phpinfo(). The document provides solutions like sanitizing special characters, proper UTF-8 encoding, and avoiding eval-like functions.

A review of the webshells used by bad guys. How they are protected but also mistakes in their implementation. This talk was updated and presented at the FSEC conference in Croatia, September 2017.

When it comes to thick-clients, java applets, embedded devices or mobile apps - often, the idea is to forget about HTTP/S stack, plaintext POST parameters, and instead, implement a custom communication protocol. - Sending files for printing? Caesar cipher does not support full UTF-8, so use AES in ECB mode. - Malware attacking online banking? Even over HTTPS, double-encrypt POST parameters. If your clients are rich, use asymetric encryption, for better protection. - Planning SOAP WS? Use WCF Binary XML and put it in a START-TLS tunnel wrapped over a TCP connection. Welcome to the world of application/x-inception-data content types, <meta charset=obscure> encoding and custom cryptography. Ideas that usually implement methods of 'security by obscurity'. Once the outer layer of obfuscation is off, very often the server backend reveals simple access control issues, SQL query shells or code execution vulnerabilities. I will discuss real-world examples from enterprise solutions tests which require a bit more effort to allow tampering with data send from the client: - intercepting the traffic, bypassing NAC - decapsulating encryption and encoding layers - hooking into function calls, modifying packages - reverse-engineer proprietary protocols and encryption.

Did "cloud computing" and "big data" buzzwords bring new challenges for security testers? Apart from complexity of Hadoop installations and number of interfaces, standard techniques can be applied to test for: web application vulnerabilities, SSL security and encryption at rest. We tested popular Hadoop environments and found a few critical vulnerabilities, which for sure cast a shadow on big data security.

The document discusses security issues with pull printing solutions. It provides three examples of security assessments conducted on different vendor products. In the first example, the proprietary protocol was reverse engineered and vulnerabilities like weak encryption were found. The second vendor took security seriously and responded quickly to reported issues. The third example showed vulnerabilities like a lack of encryption that could allow print job tampering. The document emphasizes that pull printing solutions require thorough security testing.

End-user’s requirements for secure IT products are continually increased in environment that are affected directly to human life and industry such as IoT, CPS. Because vendors and end-user sell or buy products based on trustworthy or objective security evaluation results, security evaluation roles are important. Security Evaluations are divided to two parts, one is evaluation on design level such as ISO/IEC 29128(Verification of Cryptographic Protocols) and another one is post-implementation level such as ISO/IEC 15408(Common Criteria). These security evaluation standards, both ISO/IEC 29128 and ISO/IEC 15408, advise to use formal verification and automated tools when high assurance level of target products is required. For a long time, vulnerability detection using automated tools have been tried and studied by many security researchers and hackers. And recently, the study related to automated vulnerability detection are now more active than ever in hacking community with DARPA’s CGC(Cyber Grand Challenge). But, too many tools are developed continually and usually each tool has their own purpose to use, so it’s hard to achieve ultimate goal of security evaluation effectively and verify evaluation results. Furthermore, there are no references for categorizing about automated tools on perspective of security evaluations. So, in this presentation we will list up, categorize and analyze all of automated tools for vulnerability detection and introduce our result such as pros and cons, purpose, effectiveness, etc. -- InHyuk Seo My name is Inhyuk Seo(Nick: inhack). I graduated B.S. in Computer Science and Engineering at Hanyang University(ERICA) in 2015. Now I’m a researcher and M.S. of SANE(Security Analaysis aNd Evaluation) Lab at Korea University. I’m interested in Programming Language, Software Testing, Machine Learning, Artificial Intelligence. In 2012, I completed high-quality information security education course “the Best of the Best(BoB)” hosted by KITRI(Korea Information Technology Research Institute) and conducted “Exploit Decoder for Obfuscated Javascript” Project. I participated in many projects related with vulnerability analysis. I conducted “Smart TV Vulnerability Analysis and Security Evaluation” and “Developing Mobile Security Solution(EAL4) for Military Environment ”. Also, I participated in vulnerability analysis project for IoT products of various domestic tele-communications. -- Jisoo Park Jisoo Park graduated with Dongguk University B.S in Computer science engineering. He participated in secure coding research project in Programming Language Lab and KISA(Korea Internet & Security Agency). He worked as a software QA tester at anti-virus company Ahnlab. He also completed high-quality information security education course “Best of the Best” hosted by KITRI(Korea Information Technology Research Institute) and conducted security consulting for Car sharing service company. Now, Jisoo Park is a

エアギャップなネットワークとは物理的および論理的にパブリックなネットワークから隔離され、分離されているネットワークである。例えば軍事、（高機密を有する）産業、金融などのネットワークがあげられる。そのようなシステムへ侵入することの事項可能性が近年実演されているが、エアギャップなネットワーク（からの/への��通信は、攻撃者にとってチャレンジングなものであり、また、守る側に対してもより（攻撃が発生すれば）難しい脅威となる。エアギャップなネットワークと通信を行うあらたな手法が近年現れており、いくぶんか高度なものになっており、対応が難しいものとなっている。新たに顕在化した脆弱性は、物理環境やネットワークセキュリティを考えるうえで必要かつ、広く影響を与えるものである。 しかしながら、エアギャップなネットワーク（からの／への）情報を密かに盗み出そうとする試みは休みなく行われ続けている。よって、そららの攻撃手法を公表するだけでなく対応策と実行可能性の検証を行うことは重要なことである。 本講演では、攻撃者がエアギャップなネットワークにアクセスするために必要なステップについての概略をのべる。熱、無線、音響などを活用した最先端の攻撃手法をレビューするとともに、その対応策と検証を行う。本講演における多くの攻撃手法はユバル・イロビィチ教授の監督のもと、当ラボの研究員であるモルデチャイ・グリによって発見されている。 --- モルデチャイ・グリ Mordechai Guri モルデチャイ・グリはコンピュータ科学者ならびにセキュリティ専門家として二十年以上の実践的な経験を有している。エルサレムのヘブライ大学コンピューターサイエンス学科にて学士及び修士号を得た。その後、ベングリオン大学（BGU)サイバーリサーチセンターにおける主任研究員およびラボ部長をつとめるともに、IBMのPhDインターナショナルフェローシップ (2015-2016)を獲得している。官民の様々な機関に対してサイバーセキュリティに関する多様な面からの学術的な研究を指導している。過去数年間にわたり多くの革新的なサイバーセキュリティ研究に従事し、(関連したいくつかの論文は)世界中で出版されている。研究分野はサイバーアタックおよびサイバー防御における最先端の手法に焦点をあてている。そして、現在の枠組みを深く調べ、最近のサイバー環境におけるセキュリティ問題への対処方法を改善するための新しい手法を開発し�

OS Xのセキュリティ脆弱性研究はMacのデバイスが人気になるにつれ、より人気が高まっている。OX XのIOKitはユーザモードからの切り替えにおけるカーネル自身およびカーネル拡張の危殆化によりハッカーからの多くの攻撃にさらされている。多くの研究者はこの分野の研究（リファレンスを参照のこと）を進めており、我々は本研究分野の次のいくつかの成果を共有したい。 1. カーネル脆弱性を検出するためのコンテキストエンライトメントによるパッシブファジングフレームワーク 2. SMAP＆SMEPをバイパスするためのユーザモードプログラムからカーネルメモリを占有するためのエクスプロイト技術 3. 本ファジング手法により検出された脆弱性の活用方法とOS Xに対し二度の成功をもたらしたルート詐取のための新たなエクスプロイト手法 我々は次の新たな手法を紹介する。PFACEと呼ばれる、OS X IO Kitに対するコンテキストエンライトメントによるパッシブファジングである。PFACEは次のような特徴を有する。 第一に、条件依存でありシステムクラッシュをもたらすコードの実行および検出を深くまた広く許可する。次に以下が含まれるモジュールを出力する。コンテキスト:脆弱性の疑いに対するインジケーター。インジケーターは最初にモジュールをレビューするための手段としてレビュアーにとって有用であろう。 多くの脆弱性を有する場合、主要な課題はどのようにROPガジェットをユーザモードプログラムからカーネル空間に転送するかである。なぜなら近年のOS XではSMAPおよびSMEPを許可しているためである。高名なセキュリティ研究者であるステファン・エッサーはOSDataはカーネルメモリを占拠する良い構造であると提案している。［リファレンスセクション5］もちろんOSDataは確かによいデータ構造である。しかし、実際にはOSDataが機能しないいくつかの課題が存在する。我々はOSDATAがユーザモードプログラムからカーネルメモリを占拠するよう機能させるための新たな手法を発見し、本手法により、新たな脆弱性の検出およびOS X (10.11.3) のルート詐取に成功している。 実際に我々はCVEにおける多くの脆弱性を発見しており、ファジング効果によるカーネルクラッシュを実現している。また、我々はMac OS X(10.11.3)においていくつかの脆弱性を使って、二つの��なるローカル権限昇格手法を確立している。 --- Moony Li & Jack Tang

1. The document discusses challenges in designing authentication protocols for smartphones controlling IoT devices via BLE. Limited input/output interfaces and privacy standards for devices pose challenges. 2. The study focuses on analyzing BLE protocols to discover these challenges, applying the methods to commercial products like the popular Gogoro Smart Scooter. 3. Analyzing the Gogoro protocol revealed flaws without SMP pairing, allowing others to unlock scooters. A dual-counter enhanced authentication protocol is proposed to better authenticate devices.

Hard Disk Drives (HDD) have a hidden space for storing data. If malicious software is stored in this hidden area, it could lead to attacking computers even if they are air-gapped. By abusing surplus space of HDD, such cyber attack against off-line industrial control systems could become possible. Moreover, the software or any data in this hidden space can survive against formatting, OS reinstallation, malware destruction software and any conventional cybersecurity framework. Let us call it "PARADAIS" While the PARADAIS stays unactivated, LBAs are not mapped to the hidden data area. Therefore, even if the HDD is wiped several times such as 3-pass, 7-pass or 35-pass, it remains there as it is. There has been no way to detect or erase the unidentified software at PARADAIS in advance when the HDD had been modified prior to your purchase or its installation. However, new solutions are being discovered by my ongoing research. Who can predict that Windows OS may boot after the HDD is wiped by Enhanced Secure Erase ? It would be you at CODEBLUE2016. The 2nd part of my presentation would be on DATA RECOVERY from HDD the platter surface of which has been damaged because of head crash, natural disaster or intentional destruction at crime scenes. Survey results of 12 cases show how effective the disk surface cleaning by DDRH was. --- Dai Shimogaito He has been researching and developing state-of-the-art data recovery technology for malfunctioning HDDs which had suffered platter damage from head crash, natural disaster and crime. Dai, as a digital forensic investigator, has also examined digital evidences of murder, abandonment of corpse, internal corporate fraud, and labor management problems and been cooperating with law enforcement and lawyers. Moreover, as a cyber security researcher, he has been a speaker at CODEBLUE, Matcha139 Workshop, seminars for law enforcement and cyber security companies and HTCIA International Conference & Training Expo ( Aug 2016 ).

攻撃者が脆弱性を悪用するために最も普及している手法のひとつに、ROP（Return Oriented Programming：リターン指向プログラミング）がある。攻撃処理の最中に何度もコードが通常よりもかなり異なる形で動作、例えば、呼び出し処理が関数の途中で行われたり、関数は呼び出し元に戻らないなどがおこる 。プロセッサの行った全ての命令のログが取れていれば、これらの制御フローにおける例外を検知できるだろう。 過去においては、プロセッサの実行内容をトレースすることは深刻なスピードダウンを招き、対脆弱性攻撃メソッドなどを実行困難な状態にしていた。しかし、最近のインテルのプロセッサ、BroadwellやSkylakeといったものは、今ではProcessor Traceという機能を通して、少ないオーバーヘッドで実行をトレースできる。似たような機能では、新しいARMプロセッサに存在するCoreSightというもの��ある。 この講演では、これらの新しいプロセッサの機能を使って、ファイルをスキャンして制御フロー妨害を検知する、我々の作った対脆弱性攻撃システムについて説明する。 --- ロン・シナ Ron Shina ロン・シナは、フリーのセキュリティ研究者である。 ロンは10年以上のバイナリーコードと格闘した経験をもつ。数学に多くの時間を割いてきたこともあり、セキュリティ研究やリバース・エンジニアリングの中からアルゴリズムを見つけることを楽しんでいる。彼は、イスラエル国防軍のTalpiotプログラムの卒業生である。暇があれば、ジャンプ・シュートに取り組んでいる。 --- シュローミ・オーバーマン Shlomi Oberman シュローミ・オーバーマンは、10年以上の研究経験を持つフリーのセキュリティ研究者である。シュローミは長年、多くの企業のための攻撃者の業務経験があり、意志の強い攻撃者を止めることがいかに難しいかを熟知している。過去数年、彼の興味は以前のようにセキュリティを単純に破ることから、ソフトウェア作成・リリース後のエクスプロイトをいかに防ぐかを手助けすることにシフトしている。シュローミはIDFインテリジェンス社のベテランであり、NSOグループや他の企業にセキュリティ研究をリードする立場にある。

この講演では、難解なWebアプリケーションの脆弱性を詳しく見せる。これらの脆弱性は多くのセキュリティ・コンサルタントの簡易な脆弱性診断では見逃される可能性があり、リモートコード実行、認証バイパスや、実際にお金を支払うことなくPayPal経由でお店の商品を購入されてしまうことに繋がる。 SQLインジェクションは廃れたが、私は気にしない。null、nil、NULLの世界や、noSQLインジェクション、通話音声傍受に繋がるHostヘッダ・インジェクション、PayPalの二重支払い、RailsのMessage Verifierのリモートコード実行の世界を探検しようではないか。 --- アンドレス・リアンチョ Andres Riancho アンドレス・リアンチョはアプリケーション・セキュリティの専門家であり、現在はコミュニティを前提としたオープン・ソースのw3afプロジェクトを率いていて、世界中の企業に徹底的なWebアプリケーション侵入テストサービスを提供している。 研究の分野では、3comやISSからのIPS装置に対し重大な脆弱性を発見していて、元雇用者のひとりが行ったSAP研究に貢献し、何百ものWebアプリケーションに対して脆弱性を報告している。 彼が注力しているものは常に、Webアプリケーションのセキュリティ分野である。それは彼が開発したw3afであり、侵入テスターやセキュリティ・コンサルタントたちに幅広く使われるWebアプリケーション攻撃、Auditフレームワークだ。アンドレスは、BlackHat（米国と欧州）、SEC-T（スウェーデン）、DeepSec（オーストリア）、OWASP World C0n（米国）、CanSecWest（カナダ）、PacSecWest（日本）、T2（フィンランド）、Ekoparty（ブエノスアイレス）など、世界中の多くのセキュリティ会議において講演をし、トレーニングの場を設けてきた。 アンドレスは、自動Webアプリケーション脆弱性の検知と開発を更に研究するため、2009年にWebセキュリティに特化したコンサルタント会社Bonsai Information Securityを設立している。

For quite some time we have been seeing espionage cases reaching countries, governments and large companies. A large number of backdoors were found on network devices, mobile phones and other related devices, having as main cases the ones that were reported by the media, such as: TP-Link, Dlink, Linksys, Samsung and other companies which are internationally renowned. This talk will discuss a backdoor found on the modem / router rtn, equipment that has a big question mark on top of it, because there isn’t a vendor identification and no information about who’s its manufacturer and there are at least 7 companies linked to its production, sales and distribution in the market. Moreover, some of them never really existed. Which lead us to question on the research title: “Who put the backdoor in my modem?” --- Ewerson Guimaraes Degree in Computer Science from Fumec University, Security Analyst and Researcher at Epam Systems. Certified by Offesinve Security(OSCP) and Elearn(WPT) as Pentester, Ewerson has published articles in the Brazilian Information Security/Computers magazines H4ck3r and GEEK, moreover, posted exploits and advisory on SecurityFocus found in big companies like: IBM, McAfee, Skype, Technicolor, Tufin, TrendMicro and others. Contrib to develop some modules to Metasploit Framework Project. Founder of BHack Conference and Area31, the first hackerpsace in Minas Gerais and is an active Kali Linux Community Contributor

The state of VPN protocols is not pretty, with popular options, such as IPsec and OpenVPN, being overwhelmingly complex, with large attack surfaces, using mostly cryptographic designs from the 90s. WireGuard presents a new abuse-resistant and high-performance alternative based on modern cryptography, with a focus on implementation and usability simplicity. It uses a 1-RTT handshake, based on NoiseIK, to provide perfect forward secrecy, identity hiding, and resistance to key-compromise impersonation attacks, among other important security properties, as well as high performance transport using ChaCha20Poly1305. A novel IP-binding cookie MAC mechanism is used to prevent against several forms of common denial-of-service attacks, both against the client and server, improving greatly on those of DTLS and IKEv2. Key distribution is handled out-of-band with extremely short Curve25519 points, which can be passed around in the likes of OpenSSH. Discarding the academic layering perfection of IPsec, WireGuard introduces the idea of a "cryptokey routing table", alongside an extremely simple and fully defined timer-state mechanism, to allow for easy and minimal configuration; WireGuard is actually securely deployable in practical settings. In order to rival the performance of IPsec, WireGuard is implemented inside the Linux kernel, but unlike IPsec, it is implemented in less than 4,000 lines of code, making the implementation manageably auditable. The talk will examine both the cryptography and kernel implementation particulars of WireGuard and explore an offensive attack perspective on network tunnels. --- Jason Donenfeld Jason Donenfeld is an independent security researcher and software developer, with a broad background of experience, well-known in both the security community and the open source world, and has pioneered several exploitation techniques. He has worked with many severe vulnerabilities in widespread software projects, including working on 0-day vulnerabilities in the Linux kernel, as well as extensive hardware reverse engineering. His security work spans advanced mathematical and geometric algorithms, cryptography, and remote exploitation. Jason founded Edge Security (www.edgesecurity.com), a highly capable security consulting firm, with expertise in vulnerability discovery, security assessments, reverse engineering, hardened development, and physical security.

Recently, services that provide remote control and acquire vehicle location information (GPS) is increasing. (As far as we know, it has been especially popular in the EV cars.) These services are the challenging business for the automotive industry and OEMs because these have a potentially huge market or an additional value to their products in the future. On the other hands, these services may lead to new threats and risks for the automobiles. This is because the Internet connection did not consider it was not necessary for automobiles so far. Further, some researchers have already reported vulnerabilities in the remote services that are provided by various OEMs. These issues are all reported in a foreign territory. Then, how about in Japan? Therefore, we analyze the client apps for Japan provided by the various OEMs. But we also targeted analyzing apps for the US because apps for Japan is not many yet. Specifically, we analyzed vulnerabilities (cooperation between apps, certificate verification, etc...) and whether these apps are using anti-analysis techniques such as obfuscation. In this talk, we'll introduce about a potential for abusing of remote service apps in the future and countermeasures for these risks. --- Naohide Waguri Naohide Waguri joined FFRI in 2013. Before he joined FFRI, he had participated in software quality assurance, software development and promotion of test automation of network equipment (Gigabit Ethernet or Multilayer switches) as a network engineer. After joined FFRI, he participated in penetration testing, analysis and investigating the trend of cyber attacks. He is currently researching threat/risk analysis and evaluation method for a security of embedded systems such as in-vehicle devices. He was a speaker at CODE BLUE 2015.

スマートフォンは、BLE対応のIoT機器用のコントローラやインターネット・ゲートウェイとして一般的に使われる。そうした機器間の強固な認証プロトコルの設計は、IoTセキュリティの重要な部分である。しかし、モバイルアプリ設計は、ユーザーのプライバシー保護機能だけでなく、入出力制限などの多くの課題を抱えている。これらの制限のために、多くのベンダーはBLEの組込型セキュリティ・マネジメント・プロトコルではなく、自前の認証プロトコルの構築を選ぶ。 この講演では、これらのBLE認証プロトコルを分析するための一般的な方法に着目し、前述の課題を理解、解決していく。わたし達はこの方法を、台湾製の人気スマート・スクーターGogoroを含めた市販製品に適用した。 わたし達は特定の状況下で、Gogoroスクーターをアンロックする際に使われるキーをダンプしたり、スクーターを乗っ取るために偽のBLE認証プロトコル・パケットを送ったりできるデモを行う予定である。 --- チェンユー・ダイ [GD] チェンユー・ダイ（GD）は、Team T5 ResearchのCTOで、デジタル・フォレンジックやインシデント・レスポンスのサービスの提供、脅威情報プログラムやプラットフォームの開発や、企業向けのサイバー防御のコンサルティングを行っている。 国立台湾科技大学の情報管理学科の大学院の学生であり、同時に台湾で最大のハッカー・コミュニティでありセキュリティ・カンファレンスであるHITCONの代理コーディネーターをボランティアでもある。 バグ報奨金プログラムだけでなく、国内外のCTFから多くの賞を受賞歴を持つ。 --- シーチョー・チャ [Professor Shi-Cho Cha] シーチョー・チャ（CSC）は2006年から国立台湾科技大学の教職員であり、現在は情報管理学科の助教授である。彼は、1996年と2003年に国立台湾大学の情報管理学科の理学士号と博士号を取得し、2000年〜2003年にはPMP、CISSP、CCFP、CISMの資格を取得した。 Eland Technologiesの上級コンサルタントだった頃は、eマーケティングに関する複数のシステムを開発するプロジェクトリーダーを務めた。2003年〜2006年に、台湾のPriceWaterhouseCoopersではマネージャを努め、複数の主要政府機関の情報セキュリティ管理システムの開発に協力した。 最近は、国立台湾科技大学に協力してセキュリティ分析ワークフォースの構築を行い、また、複数の組織のシステム・セキュリティの評価に協力している。現在の研究的興味は、情報セキュリティ管理、アイデンティティ

Electron is a framework to create the desktop application on Windows,OS X, Linux easily, and it has been used to develop the popular applications such as Atom Editor, Visual Studio Code, and Slack. Although Electron includes Chromium and node.js and allow the web application developers to be able to develop the desktop application with accustomed methods, it contains a lot of security problems such as it allows arbitrary code execution if even one DOM-based XSS exist in the application. In fact, a lot of vulnerabilities which is able to load arbitrary code in applications made with Electron have been detected and reported. In this talk, I focus on organize and understand the security problems which tend to occur on development using Electron. --- Yosuke Hasegawa Secure Sky Technology Inc, Technical Adviser. Known for finding numerous vulnerablities in Internet Explorer、Mozilla Firefox and other web applications.He has also presented at Black Hat Japan 2008, South Korea POC 2008, 2010 and others. OWASP Kansai Chapter Leader, OWASP Japan Board member.

The most common story that we hear: something happens with ATM that makes it empty, leaving no forensic evidence. No money and no logs. We have collected huge number of cases on how ATMs could be hacked during our researches, incidents responses and security assessments. A lot of malware infects ATM through the network or locally. There are black boxes, which connect to communications port of devices directly. There are also network attacks, such as rogue processing center or MiTM. How to stop the ATMs fraud? How to protect ATMs from attacks such as black box jackpotting? How to prevent network hijacking such as rogue processing center or MiTM? Some of these issues can be fixed by configuration means, some fixed by compensation measures, but many only by vendor. We will tell you about what bank can do now and what we as a community of security specialists should force to vendors. Before we spoke about vulnerabilities and fraud methods used by criminals. Now we would like to combine our expertise to help financial and security society with more direct advices how to implement security measures or approaches to make ATMs more secure. --- Olga Kochetova Olga is interested in how various devices interact with cash or plastic cards. She is a senior specialist for the penetration testing team at Kaspersky Lab. Olga has authored multiple articles and webinars about ATM security. She is also the author of advisories about various vulnerabilities for major ATM vendors and has been a speaker at international conferences, including Black Hat Europe, Hack in Paris, Positive Hack Days, Security Analyst Summit, Nuit Du Hack, Hack In The Box Singapore and others. --- Alexey Osipov Lead Expert on a Penetration Testing Team at Kaspersky Lab. An author of variety of techniques and utilities exploiting vulnerabilities in XML protocols and telecom equipment security. Author of advisories for various vulnerabilities for major ATM vendors. A speaker at international security conferences: Black Hat, Hack in Paris (presenting the paper on ATM vulnerabilities), NoSuchCon Paris, Nuit du Hack, Hack In The Box Singapore, Positive Hack Days, Chaos Communication Congress.

近年、電気自動車を筆頭にリモートから自動車の位置情報(GPS)の取得や制御を提供するサービスが増えている。 こうしたサービスは自動車OEMにとっては自動車に対するより高い付加価値となる可能性のある挑戦的なサービスである。 その一方で、今までインターネットを初めとした不特定多数の機器と相互通信するネットワークとの繋がりを持たなかった自動車にとってこうしたサービスの登場は新たな脅威に晒されることで新しいリスクを生み出すとも言える。 事実、2015年から今までの僅かな期間でこうしたサービスに対する問題点がいくつも報告されている。 こうした問題はいずれも国外で指摘されたものだが、日本市場ではどうだろうか？ そこで、我々は国内外のOEM各社が日本向けに提供しているクライアントアプリを解析、これらのアプリに対するアプリ間連携や通信に利用する証明書検証などの脆弱性の有無に加えて、攻撃者のリバースエンジニアリングによってこうした問題が発見され、悪用されることを防ぐ難読化などの耐解析技術の適用状況について評価を行った。 なお、現状日本国内において問題が指摘されているようなリモートから車両の一部機能を制御可能なサービスを提供しているOEMは限られている。 そのため、本講演では日本向けのアプリだけではなく米国向けのアプリも対象として、現時点におけるアプリのセキュリティ対策状況の評価結果およびその結果に基づいた将来的にエクスプロイトされる可能性と今後必要な対策について解説する。 --- 和栗 直英Naohide Waguri ネットワークエンジニアとしてネットワーク機器(ギガビットイーサネットやマルチレイヤスイッチ)のソフトウェア品質評価やテスト自動化の推進、開発業務を経て、2013年に株式会社FFRIに入社。 FFRIではセキュリティテストやサイバー攻撃動向の調査、分析業務に従事し、現在はリサーチャーとして自動車を中心とした組み込み機器に対する脅威分析やペネトレーションテスト手法の研究を行っている。 CODE BLUE 2015で講演。

Based on one decade of impactful security research and several years as a risk manager, Karsten Nohl reflects upon what he would have done differently in pushing a data security agenda. Our community is convinced that stellar IT security is paramount for companies large and small: We need security for system availability, for brand reputation, to prevent fraud, and to keep data private. But is more security always better? Poorly chosen protection measures can have large externalities on the productivity, innovation capacity, and even happiness of organizations. Can too much security be worse than too little security? This talk investigates the trade-off between security and innovation along several examples of current security research. It finds that some hacking research is counter-productive in bringing the most security to most people, by spreading fear too widely. --- Karsten Nohl Karsten Nohl has spoken widely on security gaps since 2006. He and co-investigators have uncovered flaws in mobile communication, payment, and other widely-used infrastructures. In his work at an Asian 4G and digital services provider, and as Chief Scientist at Security Research Labs in Berlin, a risk management think tank specializing in emerging IT threats, Karsten challenges security assumptions in proprietary systems and is fascinated by the security-innovation trade-off. Hailing from the Rhineland, he studied electrical engineering in Heidelberg and earned a doctorate in 2008 from the University of Virginia.

10 年にわたる精力的なセキュリティ研究と、数年にわたるリスク管理者としての経験を通じて、カールステン・ノールは情報セキュリティに関する議論を進める中で、もっといい結果が残せたのではないかと考えるようになった。 世間では、非の打ち所のない IT セキュリティ対策を講じることが、企業の規模に依らずその企業にとって最も重要なものであると確信されている。我々はシステムの可用性やブランドに対する高評価を確保するため、詐欺行為を回避するため、そして情報の機密性を保持するためにセキュリティを必要としている。 浅はかな考えで採用された防御策は、生産性、イノベーションの可能性、そして組織の幸福度にすら、それぞれ大きな外部性を持つ。行き過ぎたセキュリティ対策は、不充分なセキュリティ対策よりも悪いものなのだろうか？ 今回の講演では、現代のセキュリティの研究での様々な実例を通じて、セキュリティとイノベーションの間に発生するドレードオフの関係について取り扱う。講演では、いくつかのハッキングの研究は、多くの人に最善にセキュリティを提供することによって、および、脅威を広く広め過ぎることによって、非生産的であることへの気づきを提供する。 --- カールステン・ノールKarsten Nohl カールステン・ノールは 2006 年からセキュリティレベルの格差について幅広く講演している。彼は共同研究者と共に、モバイル通信や支払いに利用されるような世間で幅広く使用されている情報基盤における欠陥を発見してきた。アジアの 4G とデジタルサービスのプロバイダ、ベルリンの Security Research Labs の主任研究員、新たな IT 脅威の分析に特化したリスクマネジメントのシンクタンクにおける業務を通じて、カールステンは顧客の独自システムのセキュリティ評価に取り組み、セキュリティとイノベーションの間で発生するトレードオフの関係に強い興味を抱くようになった。ラインラントからあまり遠くないハイデルベルグで電気工学を学び、2008 年にヴァージニア大学で博士号を修めた。

Jak nejlépe uchopit komunikaci mezi mobilním zařízením a síťovými službami, jak nastavit spolupráci, pokud server a klient vyvíjí různé, často vzdálené organizace, a proč vůbec psát webové služby, když máme mobilní internet...

This document discusses best practices for developing mobile web services for iPhone applications. It recommends using RESTful APIs with JSON or XML formats over SOAP/XML-RPC due to their simplicity. Proper use of HTTP methods, caching, authentication using OAuth or forms, and error handling are also covered. The document emphasizes that web services should be device-agnostic and public data accessible by any application to be most useful.

The top 10 security issues in web applications are: 1. Injection flaws such as SQL, OS, and LDAP injection. 2. Cross-site scripting (XSS) vulnerabilities that allow attackers to execute scripts in a victim's browser. 3. Broken authentication and session management, such as not logging users out properly or exposing session IDs. 4. Insecure direct object references where users can directly access files without authorization checks. 5. Cross-site request forgery (CSRF) that tricks a user into performing actions they did not intend. 6. Security misconfiguration of web or application servers. 7. Insecure cryptographic storage of passwords or sensitive data. 8