気に入った記事をブックマーク
- 気に入った記事を保存できます
保存した記事の一覧は、はてなブックマークで確認・編集ができます
- 記事を読んだ感想やメモを書き残せます
- 非公開でブックマークすることもできます
エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
214 usersがブックマーク
11
11
S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog
214 users
blog.flatt.tech
blog.flatt.tech
記事へのコメント11件
- 注目コメント
- 新着コメント
teckl
Content-Type が "image/png, text/html" のファイルを受け付けてしまうのか。バリデーションがザルだと恐ろしいな… Cloudflare R2でも Content-Type: image/png, text/html が作れたっぽい
dorapon2000
“例えば、Content-Type の値をimage/png, text/htmlと指定することで、画像ファイルであると認識されることが期待されるファイルを、HTML として解釈されることで、XSS 攻撃を行うことが可能になります。 ”
integrated1453
面白かった。もし、S3へのファイルアップロード機能を提供していて直接フロントエンドからのアップロードがあり、かつアップロードされたコンテンツをサービス内で表示するような場合は注意しないといけないですね
nilab
「Content-Type の値をimage/png, text/htmlと指定することで、画像ファイルであると認識されることが期待されるファイルを、HTML として解釈されることで、XSS 攻撃を行うことが可能になります」
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
いまの話題をアプリでチェック!
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog
はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、不可思議なContent-Typeの値と、クラウ... はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、不可思議なContent-Typeの値と、クラウド時代でのセキュリティリスクについてお話しします。 本ブログは、2024 年 3 月 30 日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたり、Content-Type の動作や仕様にフォーカスした形で再編を行い、登壇時に口頭で補足した内容の追記、必要に応じた補足を行なっています。 また、本ブログで解説をする BSides Tokyoでの発表のもう一つの題である、オブジェクトストレージについては、以下のブログから確認をすることが可能ですので、ご覧ください。 blog.flatt.tech なぜ今、この問題を取り上げるのか? 従来のファイルアップロードにおいて、Content-Type の値を任意の値に設定すること
ブックマークしたユーザー
すべてのユーザーの
詳細を表示します
詳細を表示します
blog.flatt.tech
blog.flatt.tech
blog.flatt.tech
blog.flatt.tech
bunshun.jp
www.dailyshincho.jp
dwango.co.jp
blog.tinect.jp
future-architect.github.io
inthecloud.withgoogle.com
anond.hatelabo.jp
ja.toitta.com
k-tai.watch.impress.co.jp
forest.watch.impress.co.jp
www.data-sos.com
www.itmedia.co.jp
frontendmasters.com
samuraisoccer.doorblog.jp
www.slideshare.net/slideshow
www.jiji.com
2024/05/30 リンク