タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog
はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、不可思議なContent-Typeの値と、クラウド時代でのセキュリティリスクについてお話しします。 本ブログは、2024 年 3 月 30 日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたり、Content-Type の動作や仕様にフォーカスした形で再編を行い、登壇時に口頭で補足した内容の追記、必要に応じた補足を行なっています。 また、本ブログで解説をする BSides Tokyoでの発表のもう一つの題である、オブジェクトストレージについては、以下のブログから確認をすることが可能ですので、ご覧ください。 blog.flatt.tech なぜ今、この問題を取り上げるのか? 従来のファイルアップロードにおいて、Content-Type の値を任意の値に設定すること
2024/3/31(土)開催のコミュニティイベント「Bsides Tokyo 2024」でのAzara、eiによるセッション資料です。 https://bsides.tokyo/2024/#xss-using-dirty-content-type-in-cloud-era
Faraday Net::HTTP adapter v2.0.0.alpha-2以降で、Content-Typeに応じた文字コードがセットされるようになった - Qiita
Faraday Net::HTTP adapter v2.0.0.alpha-2以降で、Content-Typeに応じた文字コードがセットされるようになったRubySinatraencoding文字コードFaraday Qiita株式会社 Advent Calendar 2021の14日目の担当は、Qiita株式会社CX向上グループの@kyntkです! はじめに タイトルにある変更が対応されたPull Requestはこちらです。 前提 Faradayに2012年に以下のissueが作成されているように、FaradayでContent-Typeがtext/html; charset=utf-8のようなレスポンスが返ってきても、response.bodyの文字コードはASCII-8BITになっています。 そのため、response.body.encodingでは実際のbodyの文字コードがわ
特定の文字列を保存したファイルをPHPのmime_content_typeで判定すると実行ファイルとして認識される問題について
PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。
Amplifyでセキュリティヘッダ(Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options, Content-Security-Policy)を追加する - Qiita
Amplifyでセキュリティヘッダ(Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options, Content-Security-Policy)を追加するAWSCloudFrontamplifyAmplifyConsole Amplifyでセキュリティ対策(カスタムヘッダを追加)した際のメモです。 CloudFrontよりお手軽に設定できます。 方法 以下2点のいずれかの方法で設定しましょう。 設定ファイル追加(customHttp.yml) Amplify Console 1. 設定ファイル追加(customHttp.yml) レポジトリのルートディレクトリにcustomHttp.ymlファイルを追加し、commit & push します。 Amplify Consoleでのデ
content-type-research/XSS.md at master · BlackFan/content-type-research
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
axios で express のAPI にリクエストを投げていて何故かうまく値が取れなくてハマってしまったのでメモ。 Express のAPI const express = require('express'); const app = express(); const Joi = require('@hapi/joi'); const validation = (data) => { const schema = Joi.object({ email: Joi.string().required().email(), password: Joi.string().min(6).required(), }); return schema.validate(data, { abortEarly: false }); }; app.post('/api/login', (req, res)
[CloudFront+S3]HTTPレスポンスヘッダのContent-Typeにcharset=UTF-8を指定する | DevelopersIO
吉川@広島です。 CloudFront+S3なSPAにLambda@Edge(もしくはCloudFront Functions)でセキュリティに関するレスポンスヘッダを追加する、というのはよくやると思います。 その中で、今回は、 安全なウェブサイトの作り方 - 1.5 クロスサイト・スクリプティング:IPA 独立行政法人 情報処理推進機構 で紹介されている、 HTTPレスポンスヘッダのContent-Typeフィールドに文字コード(charset)を指定する。 に対応してみました。 具体的な危険性は、 HTTPのレスポンスヘッダのContent-Typeフィールドには、「Content-Type: text/html; charset=UTF-8」のように、文字コード(charset)を指定できます。この指定を省略した場合、ブラウザは、文字コードを独自の方法で推定して、推定した文字コードに
![[CloudFront+S3]HTTPレスポンスヘッダのContent-Typeにcharset=UTF-8を指定する | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/9a7d6ae9f85c16e05f342f3fbedf931e89d9434a/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2018%2F11%2Feyecatch_amazon-cloudfront_1200x630.jpeg)
Email::MIME::ContentType が build_content_type と build_content_disposition を提供するようになっていた - その手の平は尻もつかめるさ
Perl の話です. metacpan.org Email::MIME::ContentType 1.023 (なお本バージョンは TRIAL Release となっています) 以降から build_content_type と build_content_disposition という関数が追加されています.それぞれ名前の通り Content-Type と Content-Disposition を構築する責務を担っています. テストコードから一部拝借すると, use Email::MIME::ContentType; my $content_type = build_content_type({ type => 'text', subtype => 'plain', attributes => { charset => 'us-ascii' } }); # => 'text/plain
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
![[登壇資料] DDoS攻撃をAWSサービスだけで緩和する方法をまとめてみた #cm_odyssey | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/b880d63e4f4863872bb92012bbe392f8f0e8003f/height=288;version=1;width=512/https%3A%2F%2Fdevio2024-media.developers.io%2Fimage%2Fupload%2Fv1720688346%2Fuser-gen-eyecatch%2Fk5z8tfwgyaergujkam0p.png)
XSS using dirty Content Type in cloud era
JavaScript axios Content-Type の設定にはハマる - かもメモ
wxmx07589.seesaa.net
b.hatena.ne.jp
chimaring.hatenablog.com
mateusu-0417.hatenablog.com
president.jp
www.as-web.jp