ミュートしたアカウント

自動更新

並べ替え:新着順

ベストポスト
メニューを開く

CDNがある時代は(CDNにさばかせるため?)メタデータ内のcontent typeを任意に指定できるようになった。これにより再びcontent typeを悪用したXSs等の脅威が実現可能になる。例えばMime Sniffingや、標準のスキマをついimage/png, text/htmlの指定など(わかってない) blog.flatt.tech/entry/content_…

ken\d\x@ken5scal

メニューを開く

対策としては 1. Validation 時の検証における対策 2. X-Content-Type-Options による対策 3. ファイルの配信を行うドメインやオリジンを分離する

ken\d\x@ken5scal

メニューを開く

X-Content-Type-Options: nosniff も効果なし

無価値@novalue_gomi

メニューを開く

ファイルサーバ設定するの面倒だからApacheのautoindexでやってるんだが何で余計なことをしてしまうのか。昔のIEにもContent-Typeを無視する仕様があったと思うけど似たようなのがいまだにあるなんてな

無価値@novalue_gomi

メニューを開く

iOSのEdgeでローカルサーバのファイルをダウンロードするダイアログ表示させるためにContent-Typeをapplication/octet-streamに固定しても勝手に拡張子から判断して内容を描画してしまう。SafariもだからWebKitのせいか?

無価値@novalue_gomi

メニューを開く

S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog blog.flatt.tech/entry/content_…

みやう@miyau5555

メニューを開く

なるほどね〜 Content-Type指定できるからブラウザでMIME sniffingされた時に意図しない形でファイルが解釈されてXSSが成功するってことね 対策としてはサーバー側でのContent-Typeの指定、MIME sniffingの無効化、ファイルの配信を行うドメインを分離するのが良いのね blog.flatt.tech/entry/content_…

bwkw@_bwkw_

メニューを開く

Content-Typeの Validation Bypassについて。 `,`区切りの`image/png, text/html`の解釈がIETFやWHATWGで異なるという話 "S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog" blog.flatt.tech/entry/content_… #browser #security

azu@azu_re

メニューを開く

はじめにcontent-typeを調査するのかな?凄く軽快に検知してくれます。

Vishwa Gaurav@VishwaGauravIn

🏆 Most Intelligent AI Detector to detect Images generated by AI. Accurately distinguish between real and AI-generated visuals in seconds. Ensure authenticity and trust in the digital age. Coming Soon .... #buildinpublic #javascript #development #ai #letsconnect #website

だいすけ@daisuke

メニューを開く

S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog blog.flatt.tech/entry/content_…

sbk0716@sbk0716

メニューを開く

おもろ X-Content-Type-Options をセットしようねという話かな

Take-Me@takeMe_py

メニューを開く

コンテントタイプ...エンエヌエンエヌ(Content-type:text/html\n\n) って標準出力にHTML出力するプログラム(ハンドメイドCGIとでも呼べばいいか?)作った経験がある人どのくらいいるんだろう

カルロスわらふじ@RyoMa_0923

ん?HTML手打ちの個人ホームページ作った経験があるのってどれくらいまでの年代なんやろ

Jun ISHIMATSU(石松純)@🇲🇾@jishi77

メニューを開く

S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog blog.flatt.tech/entry/content_…

ohhara_P🧐Slow life in the isekai@ohhara_shiojiri

メニューを開く

この記事のContent-typeにスペースが含まれるという記述のimage /pngはimageで改行されるとスペースは無視される。実際にはあるのだけど、背景色が反映されないので文字として認識するときには無いものになる。

しろやか@Siro_yaka

メニューを開く

Content-Type が "image/png, text/html" のファイルを受け付けてしまうのか。バリデーションがザルだと恐ろしいな…  Cloudflare R2でも Content-Type: image/png, text/html が作れたっぽい / “S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Fl…” htn.to/4c4sFRCdYz

teckl@teckl

メニューを開く

S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog blog.flatt.tech/entry/content_…

Webクリッピング&共有Webアプリ -fluid-@fluid_share

メニューを開く

S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog blog.flatt.tech/entry/content_…

emi@shiranui_it

メニューを開く

面白かった。もし、S3へのファイルアップロード機能を提供していて直接フロントエンドからのアップロードがあり、かつアップロードされたコンテンツをサービス内で表示するような場合は注意しないといけないですね / “S3経由でXSS!?不可思議なContent-Typeの値を利用する攻…” htn.to/wuSaJq6NVs

あんどぅ@integrated1453

メニューを開く

S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog blog.flatt.tech/entry/content_…

rokuo@rokuosan_dev

メニューを開く

“S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog” htn.to/4nJfqZajgE

鳥頭のフレンズ௵@b_a_a_d_o

メニューを開く

S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog blog.flatt.tech/entry/content_…

r-pe@rrrrrrrr_ch

メニューを開く

sniffing するコードを読んだばかりなので、どう対応しようか考えてる S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog blog.flatt.tech/entry/content_…

f96fd3a0-bdb9-4f10-b69f-8f765c1d341c ICHINOSEShogo@shogo82148

メニューを開く

“S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog” htn.to/CuZxXw2RMo

mattn@mattn_jp

メニューを開く

S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog blog.flatt.tech/entry/content_…

karamage💎@kara_mage

メニューを開く

Content-Type占い、太古の技術CGI、GMO所属の人間を炙り出すイベント、などの話題がたくさん

よーでん@y0d3n

メニューを開く

返信先:@pizzacat83bライブラリAに以下のContent-Typeを設定した際のパースで正しいものはどれか。

azara@a_zara_n

メニューを開く

返信先:@a_zara_nContent-Type 占いの機運ですね

ぴざきゃっと@pizzacat83b

メニューを開く

クライアント側で S3 の Content-Type 渡せるのは気づいてたけど、カンマ区切りのときの仕様がぶれてるせいでこんな XSS あるのか‥‥ 自分で S3 作るならバケットの Post Policy の condition で Exact Match すればいいけど、そうじゃないケースだと見逃しそう

nanashi d('ω')b🕊️@tako774

メニューを開く

返信先:@yusukebeと思ったけど、 vectorize に関してはこれ動かないですね。データの挿入時に Content-Type : application/x-ndjson で ndjson にして送らないといけない箇所があるんですが、このクライアントだと仕組み的にどう頑張っても json しか送れない気がします。バグっぽい github.com/cloudflare/clo…

mizchi@mizchi

メニューを開く

“S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog” htn.to/24733jecXz

あとやす@a_yasui

メニューを開く

S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog dlvr.it/T7Zp5Q

長留裕平@_yuheichodome

メニューを開く

突然の問いなのですが、ブラウザは以下のContent-Typeを解析し、どのように解釈するでしょう? image/png;charset=,text/html

株式会社Flatt Security@flatt_security

セキュリティエンジニア @a_zara_n のブログを公開しました! Amazon S3のようなオブジェクトストレージへのアップロードの際に「不可思議なContent-Typeの値」を設定することでXSS等の攻撃が可能になる原理をHTTPやブラウザの仕様から紐解きます。 ぜひご覧ください! blog.flatt.tech/entry/content_…

azara@a_zara_n

メニューを開く

S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog IT企業技術ブログ等アンテナより blog.flatt.tech/entry/content_…

技術ブログくん@mohritaroh

メニューを開く

S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog blog.flatt.tech/entry/content_…

Koki Ide | Flatt Security@niconegoto

メニューを開く

話を単純にすると、S3互換のAPIを持つオブジェクトストレージのメタデータにContent-Typeを指定することで、XSSが発生するというブログを書きました。 blog.flatt.tech/entry/object_s… blog.flatt.tech/entry/content_… 昨年のAWS Dev Dayで話した内容をより掘り下げ、RFCやブラウザの標準化仕様に踏み込んだものです

azara@a_zara_n

メニューを開く

S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog blog.flatt.tech/entry/content_…

くま/テクノロジー@sutest1101

メニューを開く

突然の問いなのですが、ブラウザの気持ちになって以下のContent-Typeを解析してみてください。 image/png;charset=,text/html

株式会社Flatt Security@flatt_security

セキュリティエンジニア @a_zara_n のブログを公開しました! Amazon S3のようなオブジェクトストレージへのアップロードの際に「不可思議なContent-Typeの値」を設定することでXSS等の攻撃が可能になる原理をHTTPやブラウザの仕様から紐解きます。 ぜひご覧ください! blog.flatt.tech/entry/content_…

azara@a_zara_n

メニューを開く

S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog blog.flatt.tech/entry/content_…

ttmDevOps@ttmDevOps

メニューを開く

見てる。これ好き。 / S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog blog.flatt.tech/entry/content_…

Yosuke HASEGAWA@hasegawayosuke

メニューを開く

セキュリティエンジニア @a_zara_n のブログを公開しました! Amazon S3のようなオブジェクトストレージへのアップロードの際に「不可思議なContent-Typeの値」を設定することでXSS等の攻撃が可能になる原理をHTTPやブラウザの仕様から紐解きます。 ぜひご覧ください! blog.flatt.tech/entry/content_…

株式会社Flatt Security@flatt_security

もっと見る

トレンド2:28更新

  1. 1

    エンタメ

    常田大希

    • 津田健次郎
    • おじゃる丸
    • King Gnu常田大希
    • スイッチ
  2. 2

    エンタメ

    庭ラジ

    • 海ちゃん
    • 髙橋海人
    • 廉くん
    • King&Prince
  3. 3

    ITビジネス

    King Gnu

    • 津田健次郎
    • 放送決定
    • SNS
  4. 4

    エンタメ

    WEST兄さん

    • まじでないです
    • 30分前
    • 大倉くん
    • 大丈夫か?
    • 焦りすぎ
    • westꓸ
    • WEST.
    • WEST
  5. 5

    TAKAHIRO

    • 自業自得
    • 櫻坂46
    • 9枚目シングル
    • YouTube
  6. 6

    かまいガチ

    • JO1
  7. 7

    バースデー撮影完了

  8. 8

    アニメ・ゲーム

    二階堂三郷

    • HAPPY BIRTHDAY
  9. 9

    エンタメ

    ベーコンエピ

    • TOMOO
    • れんかい
  10. 10

    ITビジネス

    白岩瑠姫

    • One Love
    • 瑠姫
    • リクエスト
20位まで見る

人気ポスト

電車遅延(在来線、私鉄、地下鉄)

北海道東北関東中部近畿中国四国九州

遅延している路線はありません

全国の運行情報(Yahoo!路線情報)
よく使う路線を登録すると遅延情報をお知らせ Yahoo!リアルタイム検索アプリ
Yahoo!リアルタイム検索アプリ