[CB21] Last Mile Problem: Third Party Scripts included by Web Marketers and their Dangers by Alexandre Mercier
- 14. 理想の
開発パイプライン :
DevSecOps
0xFC698 Directory Table Base Hash
0xFC90A Load Secondary Subversion
0xFC864 Profile Database Commit
0xFC6D8 Profile Loader Module
0xFC874 Active Process
0xFC708 Machine Image Type Mux
0xFB08C Unloaded Drivers Offset List
0xFC550 Bug Check Parameter 001
- 17. マーケティング部と確認しない、
又は忘れられたラストマイル
0xFC698 Directory Table Base Hash
0xFC90A Load Secondary Subversion
0xFC864 Profile Database Commit
0xFC6D8 Profile Loader Module
0xFC874 Active Process
0xFC708 Machine Image Type Mux
0xFB08C Unloaded Drivers Offset List
0xFC550 Bug Check Parameter 001
- 18. >
CODEBLUE2021
CODEBLUE2021
18
ウェブサイトの盲点
Web サイトの意思決定者の 92 %は、自社の
Web サイトで実行されているサードパーティ製の
クライアントサイドスクリプトについて、
完全には把握できていないと答えた。
参 照 : C y b e r t h r e a t D e f e n s e R e p o r t 2 0 2 1 , C y b e r E d g e G r o u p , L L C . f o r P e r i m e t e r X
h t t p s : / / w w w . p e r i m e t e r x . c o m / c d r 2 0 2 1
- 24. CODEBLUE2021
CODEBLUE2021 >
24
代表なタグマネージャー 「タグマネージャーとは、ウェブサイト [ 等 ] に
含まれる「タグ」(トラッキング コードや関連
するコードの総称)を素早く簡単に更新できるタ
グ管理システム。
タグマネージャーのコードの一部をプロジェクト
に追加すると、ウェブベースのユーザー インター
フェースから、分析と測定のタグ設定を安全かつ
簡単にデプロイできます。」
タグマネージャーとは
参 照
h t t p s : / / s u p p o r t . g o o g l e . c o m / t a g m a n a g e r / a n s w e r / 6 1 0 2 8 2 1 ? h l = j a
- 29. 起こりうること
( 事例 )
0xFC698 Directory Table Base Hash
0xFC90A Load Secondary Subversion
0xFC864 Profile Database Commit
0xFC6D8 Profile Loader Module
0xFC874 Active Process
0xFC708 Machine Image Type Mux
0xFB08C Unloaded Drivers Offset List
0xFC550 Bug Check Parameter 001
- 32. 起こりうること:
設定ミス
0xFC698 Directory Table Base Hash
0xFC90A Load Secondary Subversion
0xFC864 Profile Database Commit
0xFC6D8 Profile Loader Module
0xFC874 Active Process
0xFC708 Machine Image Type Mux
0xFB08C Unloaded Drivers Offset List
0xFC550 Bug Check Parameter 001
- 35. 起こりうること:
未確認の脆弱性
0xFC698 Directory Table Base Hash
0xFC90A Load Secondary Subversion
0xFC864 Profile Database Commit
0xFC6D8 Profile Loader Module
0xFC874 Active Process
0xFC708 Machine Image Type Mux
0xFB08C Unloaded Drivers Offset List
0xFC550 Bug Check Parameter 001
- 41. 起こりうること:
悪意あるスクリプトの追加
0xFC698 Directory Table Base Hash
0xFC90A Load Secondary Subversion
0xFC864 Profile Database Commit
0xFC6D8 Profile Loader Module
0xFC874 Active Process
0xFC708 Machine Image Type Mux
0xFB08C Unloaded Drivers Offset List
0xFC550 Bug Check Parameter 001
- 46. 起こりうること:
ドメインの乗っ取り
0xFC698 Directory Table Base Hash
0xFC90A Load Secondary Subversion
0xFC864 Profile Database Commit
0xFC6D8 Profile Loader Module
0xFC874 Active Process
0xFC708 Machine Image Type Mux
0xFB08C Unloaded Drivers Offset List
0xFC550 Bug Check Parameter 001
- 48. マーケティング部との
連携方法
0xFC698 Directory Table Base Hash
0xFC90A Load Secondary Subversion
0xFC864 Profile Database Commit
0xFC6D8 Profile Loader Module
0xFC874 Active Process
0xFC708 Machine Image Type Mux
0xFB08C Unloaded Drivers Offset List
0xFC550 Bug Check Parameter 001
- 55. マーケティング部と働く
0xFC698 Directory Table Base Hash
0xFC90A Load Secondary Subversion
0xFC864 Profile Database Commit
0xFC6D8 Profile Loader Module
0xFC874 Active Process
0xFC708 Machine Image Type Mux
0xFB08C Unloaded Drivers Offset List
0xFC550 Bug Check Parameter 001
- 58. リスクを軽減するため:
1. 資産目録
0xFC698 Directory Table Base Hash
0xFC90A Load Secondary Subversion
0xFC864 Profile Database Commit
0xFC6D8 Profile Loader Module
0xFC874 Active Process
0xFC708 Machine Image Type Mux
0xFB08C Unloaded Drivers Offset List
0xFC550 Bug Check Parameter 001
- 67. リスクを軽減するため:
2. 分析とリスク評価
0xFC698 Directory Table Base Hash
0xFC90A Load Secondary Subversion
0xFC864 Profile Database Commit
0xFC6D8 Profile Loader Module
0xFC874 Active Process
0xFC708 Machine Image Type Mux
0xFB08C Unloaded Drivers Offset List
0xFC550 Bug Check Parameter 001
- 73. リスクを軽減するため:
3. リスクの軽減
0xFC698 Directory Table Base Hash
0xFC90A Load Secondary Subversion
0xFC864 Profile Database Commit
0xFC6D8 Profile Loader Module
0xFC874 Active Process
0xFC708 Machine Image Type Mux
0xFB08C Unloaded Drivers Offset List
0xFC550 Bug Check Parameter 001
- 80. >
CODEBLUE2021
CODEBLUE2021
80
リスクの軽減
> CSP は完璧ではない
> バイパスや、許可されたドメインの濫用は可能
参 照 : A m i r S h a k e d - C S P i s b r o k e n , l e t ’ s fi x i t - D E F C O N 2 9 A p p S e c V i l l a g e
h t t p s : / / w w w . y o u t u b e . c o m / w a t c h ? v = k k I r H 3 F s 4 I g
技術的な面で
- 85. 重要なポイント &
お礼
0xFC698 Directory Table Base Hash
0xFC90A Load Secondary Subversion
0xFC864 Profile Database Commit
0xFC6D8 Profile Loader Module
0xFC874 Active Process
0xFC708 Machine Image Type Mux
0xFB08C Unloaded Drivers Offset List
0xFC550 Bug Check Parameter 001