We're sorry but this page doesn't work properly without JavaScript enabled. Please enable it to continue.
Feedback

Abusing Bleeding Edge Web Standards for AppSec Glory

00:00

Formale Metadaten

Titel
Abusing Bleeding Edge Web Standards for AppSec Glory
Serientitel
Anzahl der Teile
93
Autor
Lizenz
CC-Namensnennung 3.0 Unported:
Sie dürfen das Werk bzw. den Inhalt zu jedem legalen Zweck nutzen, verändern und in unveränderter oder veränderter Form vervielfältigen, verbreiten und öffentlich zugänglich machen, sofern Sie den Namen des Autors/Rechteinhabers in der von ihm festgelegten Weise nennen.
Identifikatoren
Herausgeber
Erscheinungsjahr
Sprache

Inhaltliche Metadaten

Fachgebiet
Genre
Abstract
Through cooperation between browser vendors and standards bodies in the recent past, numerous standards have been created to enforce stronger client-side control for web applications. As web appsec practitioners continue to shift from mitigating vulnerabilities to implementing proactive controls, each new standard adds another layer of defense for attack patterns previously accepted as risks. With the most basic controls complete, attention is shifting toward mitigating more complex threats. As a result of the drive to control for these threats client-side, standards such as SubResource Integrity (SRI), Content Security Policy (CSP), and HTTP Public Key Pinning (HPKP) carry larger implementation risks than others such as HTTP Strict Transport Security (HSTS). Builders supporting legacy applications actively make trade-offs between implementing the latest standards versus accepting risks simply because of the increased risks newer web standards pose. In this talk, we'll strictly explore the risks posed by SRI, CSP, and HPKP; demonstrate effective mitigation strategies and compromises which may make these standards more accessible to builders and defenders supporting legacy applications; as well as examine emergent properties of standards such as HPKP to cover previously unforeseen scenarios. As a bonus for the breakers, we'll explore and demonstrate exploitations of the emergent risks in these more volatile standards, to include multiple vulnerabilities uncovered quite literally during our research for this talk (which will hopefully be mitigated by d-day). Bio: Bryant Zadegan is an application security advisor and mentor at Mach37, a security accelerator focused on pouring substantial dollars into new security technologies. When not driving developers to embrace AppSec in continuous integration, Bryant punches holes in Amazon, Google, Reddit, etc. On days when he'd rather not touch computers, he's usually nowhere to be found near DC. Ryan Lester is the CEO and chief software architect for Cyph, a web-based one-click end-to-end-encrypted communications service funded in part by Mach37, Virginia's Center for Innovative Technology, and the Goel Fund. Since departing SpaceX, Ryan has dedicated the better part of a year and a half to the vision of accessible encrypted communication. Unsurprisingly, when he isn't working on building the logic for Cyph, he's usually looking for ways to break it.
KonfigurationsraumInternetworkingWeb SiteZusammenhängender GraphCASE <Informatik>FehlermeldungMomentenproblemDomain <Netzwerk>MereologieApp <Programm>BenutzerbeteiligungComputeranimation
ComputersicherheitCodierung <Programmierung>TelekommunikationFaktor <Algebra>SoftwarepiraterieWort <Informatik>SoftwarepirateriePunktSoftwareentwicklerSprachsyntheseChiffrierungMAPPublic-Key-KryptosystemMultiplikationsoperatorBenutzerbeteiligungComputersicherheitKartesische KoordinatenFaktor <Algebra>CASE <Informatik>NapsterHackerDigital Rights ManagementBrowserMeta-TagApp <Programm>Turbo-CodeLebesgue-IntegralTelekommunikationZahlenbereichKlassische PhysikTermSoftware EngineeringArchitektur <Informatik>Persönliche IdentifikationsnummerRelativitätstheorieComputeranimation
Produkt <Mathematik>BitGraphische BenutzeroberflächeBrowserCASE <Informatik>ImplementierungBenutzerbeteiligungWeg <Topologie>Rechter WinkelComputeranimationBesprechung/Interview
COMSkriptspracheCodeKonsistenz <Informatik>Lebesgue-IntegralBitQuellcodeCDN-NetzwerkZeitzoneComputeranimation
Gibbs-VerteilungQuellcodeSoftwareentwicklerKonsistenz <Informatik>EreignishorizontCOMSkriptspracheCodeDemo <Programm>QuaderSkriptspracheEreignishorizontAttributierte GrammatikQuellcodeHash-AlgorithmusVerschlingungRechenschieberMultiplikationsoperatorTouchscreenGraphische BenutzeroberflächeDemo <Programm>Computeranimation
VersionsverwaltungGraphische BenutzeroberflächeCASE <Informatik>CachingSkriptspracheMultiplikationsoperatorZweiSoftwaretestBenutzerbeteiligungComputeranimation
ComputersicherheitInhalt <Mathematik>SoftwaretestHash-AlgorithmusSkriptspracheSkriptspracheHash-AlgorithmusDemo <Programm>MereologieVersionsverwaltungMultiplikationsoperatorFehlermeldungCASE <Informatik>Computeranimation
Meta-TagMathematische LogikE-MailRahmenproblemDemo <Programm>ComputersicherheitCodeWeb logSoftwaretestElement <Gruppentheorie>Inhalt <Mathematik>InformationDemo <Programm>URLDigital Rights ManagementWeb-SeiteÄquivalenzklasseStrömungsrichtungDateiformatRechter WinkelEreignishorizontMeta-TagE-MailCASE <Informatik>SkriptspracheRahmenproblemVektorpotenzialSchnittmengeCodeLastWurm <Informatik>Mathematische LogikUnendlichkeitKategorie <Mathematik>Web SiteElement <Gruppentheorie>SchlussregelFlächeninhaltSpielkonsoleBitInhalt <Mathematik>FehlermeldungComputeranimation
Inhalt <Mathematik>Exogene VariableLastMeta-TagGasströmungDigital Rights ManagementWeb SiteBrowserInhalt <Mathematik>Web-SeiteEinfache GenauigkeitSchlussregelPunktE-MailLastKartesische KoordinatenServerHydrostatikBenutzerbeteiligungMeta-TagExogene VariableApp <Programm>Komplex <Algebra>MultiplikationsoperatorRoutingQuick-SortComputersicherheitSoftwareentwicklerGanze FunktionCASE <Informatik>TermATMBenutzeroberflächeComputeranimation
COMExplosion <Stochastik>Graphische BenutzeroberflächeGüte der AnpassungVerkehrsinformationImplementierungPunktPersönliche IdentifikationsnummerATMStichprobenumfangSchlüsselverwaltungHash-AlgorithmusLokales MinimumDomain <Netzwerk>KontrollstrukturWeb SiteE-MailComputeranimation
KreisbewegungKontrollstrukturInhalt <Mathematik>Weg <Topologie>Machsches PrinzipBrowserServerWeb ServicesDienst <Informatik>BenutzerbeteiligungServerE-MailDigitales ZertifikatCachingApp <Programm>Web SiteHochdruckMAPEinfach zusammenhängender RaumCASE <Informatik>Front-End <Software>ChiffrierungTotal <Mathematik>Inhalt <Mathematik>ClientNummernsystemPersönliche IdentifikationsnummerVorzeichen <Mathematik>SchlüsselverwaltungPublic-Key-KryptosystemComputersicherheitFilter <Stochastik>MultiplikationsoperatorCodeGatewayMathematikGanze FunktionPhysikalischer EffektBrowserFunktionalFolge <Mathematik>FehlermeldungMathematische LogikDomain <Netzwerk>TermKartesische KoordinatenEreignishorizontSequenzdiagrammRechter WinkelQuick-SortMomentenproblemComputeranimationDiagramm
CodeBrowserMaßerweiterungPhysikalische TheorieNummernsystemImplementierungMathematische LogikFreewareInhalt <Mathematik>Physikalische TheorieKartesische KoordinatenCodeNummernsystemRechenschieberCASE <Informatik>Vorzeichen <Mathematik>Mathematische LogikImplementierungBenutzerbeteiligungSoundverarbeitungComputeranimation
RegelungInformationsspeicherungZählenRechter WinkelDienst <Informatik>Differenz <Mathematik>Lokales MinimumMultiplikationsoperatorLebesgue-IntegralCASE <Informatik>Inhalt <Mathematik>Hash-AlgorithmusKartesische KoordinatenSkriptspracheBrowserCodeResultanteVorzeichen <Mathematik>Einfach zusammenhängender RaumWeb SitePunktSoundverarbeitungSchlüsselverwaltungDomain <Netzwerk>NummernsystemE-MailProdukt <Mathematik>sinc-FunktionPersönliche IdentifikationsnummerOrdnung <Mathematik>VersionsverwaltungApp <Programm>TermDifferenteQuick-SortComputeranimation
KontrollstrukturInhalt <Mathematik>Hash-AlgorithmusServerEinsServerFront-End <Software>ComputersicherheitGamecontrollerHash-AlgorithmusWeb SiteBenutzerbeteiligungEreignishorizontInhalt <Mathematik>MereologieTermWeb-SeiteDomain <Netzwerk>BitEntscheidungstheorieMultiplikationsoperatorDienst <Informatik>Computeranimation
Web-SeiteEinfache GenauigkeitDistributionenraumSystemaufrufLastApp <Programm>MultiplikationsoperatorBitWeb-SeiteWeb ServicesEntscheidungstheorieEinfache GenauigkeitInnerer PunktWeb SiteE-MailInhalt <Mathematik>DistributionenraumBrowserPersönliche IdentifikationsnummerDemo <Programm>Computeranimation
Demo <Programm>GatewayInhalt <Mathematik>RechnernetzQuick-SortEinfach zusammenhängender RaumRechter WinkelBitE-MailTransaktionMetropolitan area networkInhalt <Mathematik>BenutzerbeteiligungSchlüsselverwaltungInstantiierungMultiplikationWeb SitePersönliche IdentifikationsnummerGatewayAutorisierungDigitales ZertifikatFahne <Mathematik>Güte der AnpassungNotebook-ComputerInternetworkingMereologieDomain <Netzwerk>COMSoftwareEinsZweiWeg <Topologie>JSONXMLUMLComputeranimation
ObjektverfolgungSchnittmengeWeg <Topologie>BrowserKreisbewegungChiffrierungWeg <Topologie>KreisbewegungBrowserZahlenbereichQuick-SortPhysikalischer EffektKoroutineZweiWeltformelComputeranimationXML
BrowserKreisbewegungChiffrierungCookie <Internet>VererbungshierarchieServerE-MailCodeDomain <Netzwerk>ClientTeilmengeZufallszahlenSpielkonsoleSkriptspracheGoogolDemo <Programm>ServerMusterspracheBildverstehenMultiplikationsoperatorSpielkonsoleGoogolCookie <Internet>FreewareTLSBenutzerbeteiligungChiffrierungDomain <Netzwerk>KonfigurationsraumBasis <Mathematik>CASE <Informatik>Offene MengeE-MailSchlüsselverwaltungSchnittmengeComputeranimation
Web logMessage-PassingSpielkonsoleElement <Gruppentheorie>InformationRechnernetzLogarithmusComputersicherheitQuellcodeMotion CapturingExogene VariableZahlzeichenGanze ZahlBitCookie <Internet>BildschirmfensterCASE <Informatik>ZahlenbereichLoopWeb SiteXMLComputeranimation
Cookie <Internet>VererbungshierarchieZeitbereichDatenmodellDomain <Netzwerk>MusterspracheQuellcodeCASE <Informatik>Web SiteVersionsverwaltungClientApp <Programm>Rechter WinkelTotal <Mathematik>VerschlingungATMKanalkapazitätEinfügungsdämpfungSkriptspracheVerkehrsinformationMusterspracheDomain <Netzwerk>MereologieQuellcodeMultiplikationsoperatorWeg <Topologie>BrowserDienst <Informatik>ImplementierungDatenmissbrauchVektorpotenzialCookie <Internet>ComputersicherheitSoundverarbeitungE-MailComputeranimation
Nabel <Mathematik>ChiffrierungFreewareWiederherstellung <Informatik>Public-Key-KryptosystemGrundsätze ordnungsmäßiger DatenverarbeitungSkriptspracheServerPublic-Key-KryptosystemWort <Informatik>GamecontrollerNeue MedienRoboterExogene VariableUnrundheitSoftwareschwachstelleMusterspracheSelbst organisierendes SystemBenutzerbeteiligungHackerQuaderWeb SiteSchlüsselverwaltungRechter WinkelFreewareBitComputeranimation
Public-Key-KryptosystemQuaderPublic-Key-KryptosystemSchlüsselverwaltungNotebook-ComputerWort <Informatik>Web SiteMultiplikationsoperatorHash-AlgorithmusE-MailZahlenbereichDemo <Programm>Grundsätze ordnungsmäßiger DatenverarbeitungComputeranimation
Integriertes InformationssystemHill-DifferentialgleichungHumanoider RoboterSchlüsselverwaltungQuaderZoomServerWeb SiteBenutzerbeteiligungKette <Mathematik>InstantiierungMultiplikationsoperatorFehlermeldungPublic-Key-KryptosystemMusterspracheEndliche ModelltheorieChiffrierungRechter WinkelMAP
ChiffrierungBitrateInverser LimesGraphische BenutzeroberflächeDirekte numerische SimulationVersionsverwaltungDomain <Netzwerk>Rechter WinkelDatensatzOrdnung <Mathematik>Graphische BenutzeroberflächeProdukt <Mathematik>Lokales MinimumDirekte numerische SimulationAutorisierungChiffrierungDigitales ZertifikatDienst <Informatik>NebenbedingungSchlüsselverwaltungMathematikQuaderMultiplikationsoperatorKontrollstrukturGrenzschichtablösungInverser LimesBitrateMailing-ListeWort <Informatik>DefaultWeb SitePersönliche IdentifikationsnummerComputeranimation
Partielle DifferentiationDirekte numerische SimulationKonfigurationsraumCachingComputersicherheitE-MailWeb SiteMAPSoftwaretestGraphische BenutzeroberflächeE-MailSchlüsselverwaltungKonfigurationsraumMathematikMultiplikationsoperatorSoftwareschwachstelleGewicht <Ausgleichsrechnung>Lokales MinimumCaching
QuellcodeLESOpen SourceProzess <Informatik>QuellcodeRechter WinkelComputeranimation
GruppenoperationCOMChiffrierungTwitter <Softwareplattform>Demo <Programm>ComputersicherheitProdukt <Mathematik>Güte der AnpassungRechenschieberComputerspielApp <Programm>Computeranimation
Transkript: Englisch(automatisch erzeugt)