$30 off During Our Annual Pro Sale. View Details »

The face of X-Content-Type-Options which you may not know

Yu Yagihashi
April 24, 2018
Programming
0
340

The face of X-Content-Type-Options which you may not know

LT向け資料。ざっっっっっっくりなのでまさかりはマジかんべん。 #roppongijs #2

Yu Yagihashi

April 24, 2018
Tweet

More Decks by Yu Yagihashi

See All by Yu Yagihashi
A Security Engineer in the Web Re-architecture Project
yagihashoo
0
980
A talk about XSS thousand knocks(Shibuya.XSS techtalk#10)
yagihashoo
6
2.5k
katagaitai勉強会#6 EasyなWeb編 / katagaitaiCTF#6 Web
yagihashoo
1
1.1k

Other Decks in Programming

See All in Programming
Comment choisir les « bons » composants open source ? (Capitole du Libre 2023)
pylapp
0
110
ニフティ社内ISUCON開催への道のり - NIFTY Tech Day 2023
niftycorp
0
140
Findy - エンジニア向け会社紹介 / Findy Letter for Engineers
findyinc
2
59k
GoにおけるCall Graphを用いた 大規模コードベースの影響調査
ffjlabo
0
290
安心してリリース!〜Blue/Greenデプロイ戦略の実体験〜 - NIFTY Tech Day 2023
niftycorp
0
140
Using AI in Software Design: How ChatGPT Can Help With Creating a Solution Architecture
rdmueller
0
180
ユーザー登録とログインフォームにautocomplete属性を使いましょう
ivanova1991
2
1.7k
長年運用されている Web サービスと 通信をするクライアントを Go で作ってみた話
commojun
0
400
車両情報のリアルタイム特徴量基盤の構築
mot_techtalk
0
110
Second-System Syndrome: A tale of power-assert
twada
PRO
9
3.6k
Angular 17 - Rainaissance
gregonnet
0
140
非同期ツールキット「Vert.x」のご紹介
masatoshiitoh
0
120

Featured

See All Featured
Intergalactic Javascript Robots from Outer Space
tanoku
264
26k
Raft: Consensus for Rubyists
vanstee
130
6k
The Power of CSS Pseudo Elements
geoffreycrofte
56
4.7k
Documentation Writing (for coders)
carmenintech
55
3.5k
How to Ace a Technical Interview
jacobian
272
22k
Writing Fast Ruby
sferik
615
59k
Fantastic passwords and where to find them - at NoRuKo
philnash
34
2.3k
The Invisible Side of Design
smashingmag
291
49k
The MySQL Ecosystem @ GitHub 2015
samlambert
241
11k
A better future with KSS
kneath
230
16k
Bash Introduction
62gerente
603
210k
A Modern Web Designer's Workflow
chriscoyier
688
190k

Transcript

  1. あなたの知らない(かもしれない)

    X-Content-Type-Options
    Yu YAGIHASHI(@yagihashoo)
    @Roppongi.js#2

    View Slide

  2. View Slide

  3. View Slide

  4. Content Sniffing
    • Content-Typeヘッダの内容に関係なく、レスポンスボディの内容に

    応じてIEがContent-Typeを勝手に判断する機能

    →と思っていませんか?
    • 正確なContent-Typeが設定されていても無視されるのが特に悪質で、

    その解決策としてX-Content-Type-Optionsヘッダによるこの機能の

    制御・無効化が一般的となった
    • 具体的には、HTMLタグを含む画像ファイルを開くとHTMLとして

    認識されてしまうことによるXSSなど

    View Slide

  5. FirefoxとかChromeにもあるよ
    • 画像を開くとHTMLに!みたいなトンデモ仕様はない(はず)
    • (LTなので)細かい挙動は調べていないが、どちらかというと内容よりも

    コンテキストに応じて既存のContent-Typeヘッダの値を無視し、

    別のContent-Typeとしてロードする挙動をするように見える
    • 例えば、.jsファイルのContent-Typeがなぜかtext/htmlであっても

    script要素のsrc属性で指定し、ロードできるなど

    View Slide

  6. FirefoxとかChromeにもあるよ
    HTML
    PNGファイルだよ〜
    は?JSとして読むわ
    \x89PNG~~~~~~
    Content-Type: image/png

    View Slide

  7. ごく一般的なGIFファイル
    GIF8=1;alert("あなたの知らない(かもしれない)X-Content-Type-Options")

    View Slide

  8. fileコマンドでも

    View Slide

  9. PHPでも

    View Slide

  10. シナリオ
    HTML
    Content-Security-Policy: default-src ‘self’
    GIF(仮)
    なんか悪い感じのJSコード
    GIF(仮)

    View Slide

  11. シナリオ
    HTML
    Content-Security-Policy: default-src ‘self’
    GIF(仮)
    なんか悪い感じのJSコード
    GIF(仮)
    XSSの脆弱性があるが、いい感じのCSPヘッダに
    よって悪い感じのコードはそもそも動かない

    View Slide

  12. シナリオ
    HTML
    Content-Security-Policy: default-src ‘self’
    GIF(仮)
    なんか悪い感じのJSコード
    GIF(仮)
    攻撃者が自由に画像ファイルを

    同一オリジンにアップロードできる

    View Slide

  13. シナリオ
    HTML
    Content-Security-Policy: default-src ‘self’
    GIF(仮)
    なんか悪い感じのJSコード
    GIF(仮)
    XSSで埋め込んだscript要素から

    同一オリジンにアップロードした

    悪い感じのGIFファイルを参照する

    View Slide

  14. シナリオ
    HTML
    Content-Security-Policy: default-src ‘self’
    GIF(仮)
    なんか悪い感じのJSコード
    GIF(仮)
    CSPでいい感じなのに

    XSSできてしまう!!!

    View Slide

  15. さいごに
    • やることは変わらないです。X-C-T-O: nosniff、ちゃんと付けましょう。

    View Slide