Upgrade to Pro — share decks privately, control downloads, hide ads and more …

The face of X-Content-Type-Options which you ma...

Yu Yagihashi
April 24, 2018
Programming
0
370

The face of X-Content-Type-Options which you may not know

LT向け資料。ざっっっっっっくりなのでまさかりはマジかんべん。 #roppongijs #2

Yu Yagihashi

April 24, 2018
Tweet

More Decks by Yu Yagihashi

See All by Yu Yagihashi
A Security Engineer in the Web Re-architecture Project
yagihashoo
0
1.1k
A talk about XSS thousand knocks(Shibuya.XSS techtalk#10)
yagihashoo
5
2.8k
katagaitai勉強会#6 EasyなWeb編 / katagaitaiCTF#6 Web
yagihashoo
1
1.2k

Other Decks in Programming

See All in Programming
Amazon Bedrock Multi Agentsを試してきた
tm2
1
180
Simple組み合わせ村から大都会Railsにやってきた俺は / Coming to Rails from the Simple
moznion
3
3.4k
Compose でデザインと実装の差異を減らすための取り組み
oidy
1
220
ファインディの テックブログ爆誕までの軌跡
starfish719
1
650
ErdMap: Thinking about a map for Rails applications
makicamel
1
840
Lookerは可視化だけじゃない。UIコンポーネントもあるんだ!
ymd65536
1
130
CNCF Project の作者が考えている OSS の運営
utam0k
5
550
どうして手を動かすよりもチーム内のコードレビューを優先するべきなのか
okashoi
3
940
PHPで作るWebSocketサーバー ~リアクティブなアプリケーションを知るために~ / WebSocket Server in PHP - To know reactive applications
seike460
PRO
2
800
DMMオンラインサロンアプリのSwift化
hayatan
0
230
AWSマネコンに複数のアカウントで入れるようになりました
yuhta28
2
140
Swiftコンパイラ超入門+async関数の仕組み
shiz
0
190

Featured

See All Featured
A Modern Web Designer's Workflow
chriscoyier
693
190k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
3
260
Fantastic passwords and where to find them - at NoRuKo
philnash
50
3k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
192
16k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
49
2.2k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
52k
Music & Morning Musume
bryan
46
6.3k
Speed Design
sergeychernyshev
25
750
Designing for humans not robots
tammielis
250
25k
The World Runs on Bad Software
bkeepers
PRO
66
11k
Done Done
chrislema
182
16k
For a Future-Friendly Web
brad_frost
176
9.5k

Transcript

  1. あなたの知らない(かもしれない)
 X-Content-Type-Options Yu YAGIHASHI(@yagihashoo) @Roppongi.js#2

  2. None
  3. None

  4. Content Sniffing • Content-Typeヘッダの内容に関係なく、レスポンスボディの内容に
 応じてIEがContent-Typeを勝手に判断する機能
 →と思っていませんか? • 正確なContent-Typeが設定されていても無視されるのが特に悪質で、
 その解決策としてX-Content-Type-Optionsヘッダによるこの機能の
 制御・無効化が一般的となった

    • 具体的には、HTMLタグを含む画像ファイルを開くとHTMLとして
 認識されてしまうことによるXSSなど

  5. FirefoxとかChromeにもあるよ • 画像を開くとHTMLに!みたいなトンデモ仕様はない(はず) • (LTなので)細かい挙動は調べていないが、どちらかというと内容よりも
 コンテキストに応じて既存のContent-Typeヘッダの値を無視し、
 別のContent-Typeとしてロードする挙動をするように見える • 例えば、.jsファイルのContent-Typeがなぜかtext/htmlであっても
 script要素のsrc属性で指定し、ロードできるなど

  6. FirefoxとかChromeにもあるよ HTML PNGファイルだよ〜 は?JSとして読むわ <script src=“hoge.png”></script> \x89PNG~~~~~~ Content-Type: image/png

  7. ごく一般的なGIFファイル GIF8=1;alert("あなたの知らない(かもしれない)X-Content-Type-Options")

  8. fileコマンドでも

  9. PHPでも

  10. シナリオ HTML Content-Security-Policy: default-src ‘self’ GIF(仮) <script src=“hoge.gif”></script> なんか悪い感じのJSコード GIF(仮)

  11. シナリオ HTML Content-Security-Policy: default-src ‘self’ GIF(仮) <script src=“hoge.gif”></script> なんか悪い感じのJSコード GIF(仮)

    XSSの脆弱性があるが、いい感じのCSPヘッダに よって悪い感じのコードはそもそも動かない

  12. シナリオ HTML Content-Security-Policy: default-src ‘self’ GIF(仮) <script src=“hoge.gif”></script> なんか悪い感じのJSコード GIF(仮)

    攻撃者が自由に画像ファイルを
 同一オリジンにアップロードできる

  13. シナリオ HTML Content-Security-Policy: default-src ‘self’ GIF(仮) <script src=“hoge.gif”></script> なんか悪い感じのJSコード GIF(仮)

    XSSで埋め込んだscript要素から
 同一オリジンにアップロードした
 悪い感じのGIFファイルを参照する

  14. シナリオ HTML Content-Security-Policy: default-src ‘self’ GIF(仮) <script src=“hoge.gif”></script> なんか悪い感じのJSコード GIF(仮)

    CSPでいい感じなのに
 XSSできてしまう!!!

  15. さいごに • やることは変わらないです。X-C-T-O: nosniff、ちゃんと付けましょう。