- 日本語: 「マクロな視点から捉える Web セキュリティ: Web インフラストラクチャを利用した攻撃とサイドチャネル攻撃の実践と評価」
- English: "Web Security from the Macro Perspective: Understanding Modern Hacking Techniques with Web Infrastructure and Side-channels"
- ここ (Speaker Deck) にあります。
CDN サービスの流行やクラウドコンピューティングの隆盛、そしてコンテナ技術の台頭の流れを汲み、Web システムは独立性の高いコンポーネントの総体として形作られるようになりつつある。それに伴い Web システムのセキュリティの評価には、その構成要素それぞれを評価するための局所的技術だけではなく、それらを総体として評価するための大局的視点が求められるようになってきている。そこで本講義では Edge Side Includes (ESI) Injection やキャッシュミドルウェアを利用した攻撃、HTTP Request Smuggling、そして XS-Search のようなオラクルを利用した攻撃手法等の検証を実際に行い、これを通して Web システムに対するマクロなセキュリティ的視点を養成する。