Upgrade to Pro — share decks privately, control downloads, hide ads and more …

The face of X-Content-Type-Options which you ma...

Avatar for Yu Yagihashi Yu Yagihashi
April 24, 2018
Programming
0
400

The face of X-Content-Type-Options which you may not know

LT向け資料。ざっっっっっっくりなのでまさかりはマジかんべん。 #roppongijs #2

Avatar for Yu Yagihashi

Yu Yagihashi

April 24, 2018
Tweet

More Decks by Yu Yagihashi

See All by Yu Yagihashi
A Security Engineer in the Web Re-architecture Project
Avatar for Yu Yagihashi yagihashoo
0
1.2k
A talk about XSS thousand knocks(Shibuya.XSS techtalk#10)
Avatar for Yu Yagihashi yagihashoo
5
3.1k
katagaitai勉強会#6 EasyなWeb編 / katagaitaiCTF#6 Web
Avatar for Yu Yagihashi yagihashoo
1
1.3k

Other Decks in Programming

See All in Programming
Pythonではじめるオープンデータ分析〜書籍の紹介と書籍で紹介しきれなかった事例の紹介〜
Avatar for Ryo YOSHI welliving
3
750
Combinatorial Interview Problems with Backtracking Solutions - From Imperative Procedural Programming to Declarative Functional Programming - Part 2
Avatar for Philip Schwarz philipschwarz
PRO
0
130
それ、本当に安全? ファイルアップロードで見落としがちなセキュリティリスクと対策
Avatar for ikechi penpeen
4
1.2k
これならできる!個人開発のすゝめ
Avatar for Tsubasa SEKIGUCHI tinykitten
PRO
0
140
Graviton と Nitro と私
Avatar for maroon1st maroon1st
0
160
[AI Engineering Summit Tokyo 2025] LLMは計画業務のゲームチェンジャーか? 最適化業務における活⽤の可能性と限界
Avatar for terry-u16 terryu16
2
220
組み合わせ爆発にのまれない - 責務分割 x テスト
Avatar for HAL halhorn
1
180
脳の「省エネモード」をデバッグする ~System 1(直感)と System 2(論理)の切り替え~
Avatar for HideyukiKitao panda728
PRO
0
130
QAフローを最適化し、品質水準を満たしながらリリースまでの期間を最短化する #RSGT2026
Avatar for shibayu36 shibayu36
0
1.2k
例外処理とどう使い分ける?Result型を使ったエラー設計 #burikaigi
Avatar for Takuma Kajikawa kajitack
9
2.4k
The Past, Present, and Future of Enterprise Java
Avatar for ivargrimstad ivargrimstad
0
620
GoLab2025 Recap
Avatar for kuro kuro_kurorrr
0
790

Featured

See All Featured
Skip the Path - Find Your Career Trail
Avatar for Mark Kilby mkilby
0
37
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.5k
Balancing Empowerment & Direction
Avatar for Lara Hogan lara
5
830
The State of eCommerce SEO: How to Win in Today's Products SERPs - #SEOweek
Avatar for Aleyda Solis aleyda
2
9.2k
Conquering PDFs: document understanding beyond plain text
Avatar for Ines Montani inesmontani
PRO
4
2.2k
The Language of Interfaces
Avatar for Des Traynor destraynor
162
26k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
3.3k
How to Ace a Technical Interview
Avatar for Jacob Kaplan-Moss jacobian
281
24k
The Organizational Zoo: Understanding Human Behavior Agility Through Metaphoric Constructive Conversations (based on the works of Arthur Shelley, Ph.D)
Avatar for Dr. Kim W Petersen kimpetersen
PRO
0
210
A brief & incomplete history of 
UX Design for the World Wide Web: 1989–2019
Avatar for Jason CranfordTeague jct
1
270
Data-driven link building: lessons from a $708K investment (BrightonSEO talk)
Avatar for Szymon szymonslowik
1
870
The innovator’s Mindset - 
Leading Through an Era of Exponential Change - McGill University 2025
Avatar for Jean-Marc De Jonghe jdejongh
PRO
1
74

Transcript

  1. あなたの知らない(かもしれない)
 X-Content-Type-Options Yu YAGIHASHI(@yagihashoo) @Roppongi.js#2

  2. None
  3. None

  4. Content Sniffing • Content-Typeヘッダの内容に関係なく、レスポンスボディの内容に
 応じてIEがContent-Typeを勝手に判断する機能
 →と思っていませんか? • 正確なContent-Typeが設定されていても無視されるのが特に悪質で、
 その解決策としてX-Content-Type-Optionsヘッダによるこの機能の
 制御・無効化が一般的となった

    • 具体的には、HTMLタグを含む画像ファイルを開くとHTMLとして
 認識されてしまうことによるXSSなど

  5. FirefoxとかChromeにもあるよ • 画像を開くとHTMLに!みたいなトンデモ仕様はない(はず) • (LTなので)細かい挙動は調べていないが、どちらかというと内容よりも
 コンテキストに応じて既存のContent-Typeヘッダの値を無視し、
 別のContent-Typeとしてロードする挙動をするように見える • 例えば、.jsファイルのContent-Typeがなぜかtext/htmlであっても
 script要素のsrc属性で指定し、ロードできるなど

  6. FirefoxとかChromeにもあるよ HTML PNGファイルだよ〜 は?JSとして読むわ <script src=“hoge.png”></script> \x89PNG~~~~~~ Content-Type: image/png

  7. ごく一般的なGIFファイル GIF8=1;alert("あなたの知らない(かもしれない)X-Content-Type-Options")

  8. fileコマンドでも

  9. PHPでも

  10. シナリオ HTML Content-Security-Policy: default-src ‘self’ GIF(仮) <script src=“hoge.gif”></script> なんか悪い感じのJSコード GIF(仮)

  11. シナリオ HTML Content-Security-Policy: default-src ‘self’ GIF(仮) <script src=“hoge.gif”></script> なんか悪い感じのJSコード GIF(仮)

    XSSの脆弱性があるが、いい感じのCSPヘッダに よって悪い感じのコードはそもそも動かない

  12. シナリオ HTML Content-Security-Policy: default-src ‘self’ GIF(仮) <script src=“hoge.gif”></script> なんか悪い感じのJSコード GIF(仮)

    攻撃者が自由に画像ファイルを
 同一オリジンにアップロードできる

  13. シナリオ HTML Content-Security-Policy: default-src ‘self’ GIF(仮) <script src=“hoge.gif”></script> なんか悪い感じのJSコード GIF(仮)

    XSSで埋め込んだscript要素から
 同一オリジンにアップロードした
 悪い感じのGIFファイルを参照する

  14. シナリオ HTML Content-Security-Policy: default-src ‘self’ GIF(仮) <script src=“hoge.gif”></script> なんか悪い感じのJSコード GIF(仮)

    CSPでいい感じなのに
 XSSできてしまう!!!

  15. さいごに • やることは変わらないです。X-C-T-O: nosniff、ちゃんと付けましょう。