記事へのコメント11

    • 注目コメント
    • 新着コメント
    efcl
    efcl Content-Typeの Validation Bypassについて。 `,`区切りの`image/png, text/html`の解釈がIETFやWHATWGで異なるという話

    2024/06/02 リンク

    その他
    teckl
    teckl Content-Type が "image/png, text/html" のファイルを受け付けてしまうのか。バリデーションがザルだと恐ろしいな…  Cloudflare R2でも Content-Type: image/png, text/html が作れたっぽい

    2024/05/31 リンク

    その他
    oooooooo
    oooooooo “image/png, text/htmlやimage /xのようなContent-Typeの値を指定することで、意図しない形で HTML としてブラウザに解釈させることが可能”

    2024/05/31 リンク

    その他
    dorapon2000
    dorapon2000 “例えば、Content-Type の値をimage/png, text/htmlと指定することで、画像ファイルであると認識されることが期待されるファイルを、HTML として解釈されることで、XSS 攻撃を行うことが可能になります。 ”

    2024/05/31 リンク

    その他
    jintrick
    jintrick “本来画像ファイルであると認識されることが期待されるファイルを、ブラウザなどのクライアントにHTMLとして解釈させることで、XSS 攻撃を行うことが可能になります。 ”

    2024/05/31 リンク

    その他
    integrated1453
    integrated1453 面白かった。もし、S3へのファイルアップロード機能を提供していて直接フロントエンドからのアップロードがあり、かつアップロードされたコンテンツをサービス内で表示するような場合は注意しないといけないですね

    2024/05/31 リンク

    その他
    hiboma
    hiboma nori すごい

    2024/05/30 リンク

    その他
    nilab
    nilab 「Content-Type の値をimage/png, text/htmlと指定することで、画像ファイルであると認識されることが期待されるファイルを、HTML として解釈されることで、XSS 攻撃を行うことが可能になります」

    2024/05/30 リンク

    その他
    Shinwiki
    Shinwiki S3がクソってこと?

    2024/05/30 リンク

    その他
    send
    send 面白い

    2024/05/30 リンク

    その他
    ya--mada
    ya--mada ファイルをアップロードする人が指定するのか。まぁ、そうぁよね

    2024/05/30 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog

    はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、不可思議なContent-Typeの値と、クラウ...

    ブックマークしたユーザー

    • kmiya_bbm2024/06/10 kmiya_bbm
    • kat212024/06/06 kat21
    • motikan20102024/06/04 motikan2010
    • yfnt2024/06/04 yfnt
    • urumas2024/06/04 urumas
    • midas365452024/06/04 midas36545
    • Toge2024/06/03 Toge
    • dhesusan46492024/06/03 dhesusan4649
    • efcl2024/06/02 efcl
    • demandosigno2024/06/02 demandosigno
    • strozw2024/06/02 strozw
    • miguchi2024/06/02 miguchi
    • akishin9992024/05/31 akishin999
    • wata882024/05/31 wata88
    • shigeaki1jp2024/05/31 shigeaki1jp
    • mi_kattun2024/05/31 mi_kattun
    • teckl2024/05/31 teckl
    • kei21002024/05/31 kei2100
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事