S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog

2024/05/30 165 users XSS セキュリティエンジニア セキュリティリスク 攻撃手法

はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、不可思議なContent-Typeの値と、クラウド時代でのセキュリティリスクについてお話しします。 本ブログは、2024 年 3 月 30 日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたり、Content-Type の動作... 続きを読む

MIMEスニッフィングを利用した脆弱性とその対策方法

2022/12/09 10 users GMOアドマーケティング Advent Calendar

この記事は GMOアドマーケティング Advent Calendar 2022 9日目の記事です。 こんにちは、GMOアドマーケティングのR.Yです。 普段はRuby on RailsによるWebサービスの開発やそれらの脆弱性診断などをやっています。 今回はContent-TypeとMIMEスニッフィングを悪用した脆弱性とその対策方法について書いていきたいと思い... 続きを読む

Connect · Simple, reliable, interoperable. A better gRPC.

2022/06/02 7 users reliable sentence APIs header

Simple, reliable, interoperable.A better gRPC.Connect is a slim library for building browser and gRPC-compatible HTTP APIs. If you're tired of hand-written boilerplate and turned off by massive frameworks, Connect is for you. $ curl \ --header 'Content-Type: application/json' \ --data '{"sentence... 続きを読む

FlutterでFirebase StorageにアップロードするとiOSではcontent-typeが自動で推測されない - Qiita

2019/03/17 11 users iOS Qiita Flutter Application

FlutterでFirebase StorageにアップロードするとiOSではcontent-typeが自動で推測されない 気がするんだけど本当？ 同じ画像をアップロードした際、iOSではcontent-typeがapplication/octet-streamになって、Androidではimage/jpegになった。なぜiOSで推測されないのか気になるから追ってみました。ソースを見てきちんと... 続きを読む

S3へ保管したメールをパースしてDynamoDBへ入れてみる

2018/07/18 13 users DynamoDB charset plain SES text

前回記事AWS SESでメールを受信してS3へ保管してみる の続きです。 前回はSESで受信したメールをS3へ保管するところまでやりました。 今回はS3に保管したメールを読んでみたいと思います。 メールの中身 [メールヘッダ省略] Content-Type: text/plain; charset="iso-2022-jp" Content-Transfer-Encoding: 7bit MIME-Vers... 続きを読む

AWS Lambda を使って Slack ボット (命名: Lambot [ランボー]) を低予算で作ろうじゃないか - Qiita

2015/11/01 71 users Qiita Elastic ランボー Slack 命名

Slack用ボットの定番は Heroku+Hubot だと思いますが、 もっと簡単、シンプルに よりElastic (負荷の増減に柔軟)に かつ、低予算 (サーバなし) で 運用したいので、AWS Lambda 上に、ライブラリを使わないで構築します。 システム構成は以下のようになります。 このシステムでは、Content-Type が - Slack「Outgoing WebHooks」は、 a... 続きを読む

Ruby - 手軽な HTTP/HTTPS サーバコマンド - Qiita

2015/01/18 100 users Qiita Ruby コマンド サーバ 便利コマンド

http や https サーバをローカルにサクッと立てたい時の便利コマンド。 Local Server local に HTTP サーバを立てたい場合、よくこんなのが使われている。 ただ、あまり気に入ってなかった。 長い python のバージョンで変わる コマンドを https に変えても https サーバにはならない content-type を変えたい 特に HTTPS サーバは、 Se... 続きを読む

BASHの脆弱性でCGIモードで動いてるPHPにアレさせてみました | dogmap.jp

2014/09/25 56 users bash テストスクリプト plain Echo Sakura

タイトルはパクリ 元記事: BASHの脆弱性でCGIスクリプトにアレさせてみました – ブログ – ワルブリックス株式会社 sakura のレンタルサーバが cgi モードで php 動かしてるよなーと思ってテストしてみたらできました。 # テストスクリプトは削除済みです。 test.php <?php header( "Content-type: text/plain" ); echo "Hey... 続きを読む

InkscapeのインストーラーがChromeでのSVG表示を壊す - Weblog - Hail2u.net

2014/08/27 16 users Inkscape インストーラー SVG Weblog 修復

Inkscapeのv0.91pre2が出たのでインストールしたところ、ローカルのSVGファイルがChromeで表示できなくなった。どうもInkscapeのインストーラー(多分安定版のインストーラーでは起こらない)が関連付けを変える時に間違ったContent-Typeを設定してしまうことが原因のようだ。 修復はレジストリ・エディターで行うのが一番早そう。 HKEY_CLASSES_ROOT\.svg... 続きを読む

IE8以前はHTMLフォームでファイル名とファイルの中身を外部から指定できる | 徳丸浩の日記

2014/01/29 86 users 徳丸浩 中身 外部 multipart HTMLフォーム

2014年1月29日水曜日 IE8以前はHTMLフォームでファイル名とファイルの中身を外部から指定できる 一昨日のエントリ『書籍「気づけばプロ並みPHP」にリモートスクリプト実行の脆弱性』にて、ファイル送信フォームに対するCSRF攻撃の文脈で、私は以下のように書きました。 通常のHTMLフォームを使ったCSRF攻撃では、Content-Typeをmultipart/form-dataにすることまで... 続きを読む

きんモザのアリスのgif画像を取得するAPIを作った - もがもがしいSEブログ

2013/09/23 213 users きんモザ API アリス Alice GIF画像

2013-09-24 きんモザのアリスのgif画像を取得するAPIを作った きんモザが終わる。毎週楽しみにしていたきんモザが。寂しい。アリスと会えなくなることが、寂しい。寂しいので、アリスのgif画像を取得できるAPIを作った。http://mogashi.no-ip.org/alice/クエリストリング無しでアクセスするとランダムで Content-Type: image/gif な画像が降って... 続きを読む

CakePHP 2.0 で Content-Type を変更する方法 | ウェブル

2011/11/29 11 users header CakePHP Firebug ヘッダ アドオン

すると以下のように勝手に変更される、あるいは変更されません。これは Firefox のアドオンである Firebug を使うと確認することができますので、ヘッダの確認の際はこれを使いましょう。 $this->header() を使う CakePHP 2.0 で Content-Type を設定するには以下のようにするようです。以下のページに書いてありました。 CakePHP – Change th... 続きを読む

最速インターフェース研究会 :: SafariのAjaxの文字化けをクライアント側だけで対応するバッドノウハウ

2006/09/21 160 users バッドノウハウ XMLHttpRequest Ajax 記憶

SafariでXMLHttpRequestのresponseTextが文字化けするという話。 http://blog.33rpm.jp/garbled-on-safari.html 最近のバージョンだとcontent-typeがちゃんとしてれば化けなかったような記憶があるけど、まあともかくとして、Safariで文字化けするのはJavaScript側だけで対処することができたりする。 http://... 続きを読む

静的なCSSと動的なCSSを組み合わせる方法 - PHPプロ！ニュース

2006/07/18 76 users text CSS PHPプロ モジュール php header

「Static and dynamic CSS combined」にて、CSSを動的に呼び出す方法が紹介されています。CSSを動的に呼び出すことで、ログインしているユーザーによって、もしくはモジュールによって、提供するCSSを分けることができます。 動的なCSSを使った場合、以下のようなコードになります： <?php header('Content-Type: text/css'); if ($m... 続きを読む

RSS2.0をPHPでライブラリを使わず素早く作る: phpspot開発日誌

2006/06/15 130 users ライブラリ PHP phpspot開発日誌 text 実装

Create an RSS feeds generator in PHP - Programmer Assist 次のコードスニペットをコピペすれば、PHPでライブラリを使わずRSS2.0を素早く組み立てられます。 自作ツールにRSS2.0を軽く組み込んでみたい、っていう場合に一瞬で実装可能です。 <?php header("Content-type: text/xml;charset=utf-8... 続きを読む

Modern Syntax : 「Google X」、消されたらしい。

2005/03/17 14 users Modern Syntax head インターフェース 記念

「Google X」ページ、さっそく行方不明に - CNET Japan このMac OS X似のインターフェースを持つページは、登場からたった1日で閉鎖されてしまった。 やっぱりリスペクトだけでは見逃してくれなかったんですね。 というわけで記念にHTMLのソースコードだけでもキープしておこうと思います。 <html><head><meta http-equiv="content-type" co... 続きを読む