[フレーム]
はてなブックマークアプリ

サクサク読めて、
アプリ限定の機能も多数!

アプリで開く

気に入った記事をブックマーク

  • 気に入った記事を保存できます
    保存した記事の一覧は、はてなブックマークで確認・編集ができます
  • 記事を読んだ感想やメモを書き残せます
  • 非公開でブックマークすることもできます
適切な情報に変更

エントリーの編集

loading...

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

タイトルガイドライン

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます
コメントを非表示にできます コメント表示の設定

ブックマークしました

ここにツイート内容が記載されます https://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

265users がブックマーク コメント 8

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

S3のメタデータを用いた攻撃

265 users zenn.dev/p0n

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

はてなブックマーク

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページ

記事へのコメント8

  • 注目コメント
  • 新着コメント
efcl
AWS S3でSigned URL経由のアップロード時に任意の`Content-Type`が指定できると起きる問題について。 Content-Typeを部分一致のPolicyにしているとブラウザの解釈と異なるContent-Typeとして認識させることができる問題や不明なContent-Type

その他
lainof
この例だと画像表示側にも問題があるんじゃないの?

その他
daishi_n
CloudFront署名を使ったPUTリクエストだとContent-Typeとかのチェックはできんから対策どうすんだろ。アップロードイベント検知してLambdaでチェックとか?

その他
kane-please
セキュリティ 攻撃 AWS

その他
tkysktmt
"S3への直接アップロードの場合はWAFによる保護は期待できません。署名生成の仕組みやブラウザの挙動をきちんと理解してアプリを実装する必要があります"せやな

その他
FreeCatWork
貴重な情報をありがとうございます。今後も楽しみにしています

その他
poad1010
この記事をおすすめしました

その他
ya--mada
後で読む、のだが、、、

その他

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー
アプリのスクリーンショット
いまの話題をアプリでチェック!
  • バナー広告なし
  • ミュート機能あり
  • ダークモード搭載
アプリをダウンロード

関連記事

usersに達しました!

さんが1番目にブックマークした記事「S3のメタデータを...」が注目されています。

気持ちをシェアしよう

ツイートする

S3のメタデータを用いた攻撃

例えば、Content-Typeメタデータの値を細工したオブジェクトを取得させることでXSSを発生させたり、Cont... 例えば、Content-Typeメタデータの値を細工したオブジェクトを取得させることでXSSを発生させたり、Content-Dispositionメタデータを細工してRFD (Reflected File Download) を引き起こしたり、 x-amz-storage-classメタデータを操作して意図せぬストレージクラスを使用させEDoS (Economical Deninal of Sustainability)を発生させたり、といった攻撃が成立する可能性があります。 中でもContent-Typeを悪用したXSSは、S3の仕様や使用方法だけでなく、ブラウザの挙動にも注意を払う必要があり、アプリ開発者は攻撃の原理と対処を理解しておく必要があります。 9/21にAzaraさんとSecurity-JAWSのコラボで、この問題にフォーカスしたCTFイベント「とある海豹とSecurity-

ブックマークしたユーザー

  • techtech05212025年06月12日 techtech0521
  • okumuraa12025年01月11日 okumuraa1
  • knj29182025年01月09日 knj2918
  • TakayukiN6272025年01月06日 TakayukiN627
  • hush_in2025年01月06日 hush_in
  • toenobu2025年01月05日 toenobu
  • efcl2025年01月05日 efcl
  • koyancya2025年01月04日 koyancya
  • mito152025年01月04日 mito15
  • think-t2025年01月04日 think-t
  • miguchi2025年01月03日 miguchi
  • onk2025年01月03日 onk
  • s_ryuuki2025年01月03日 s_ryuuki
  • taku_kw2025年01月03日 taku_kw
  • wata_d2025年01月03日 wata_d
  • chestnutking2025年01月03日 chestnutking
  • InoHiro2025年01月03日 InoHiro
  • for-my-internet-demo2025年01月03日 for-my-internet-demo
すべてのユーザーの
詳細を表示します

ブックマークしたすべてのユーザー

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

同時期にブックマークされた記事

いま人気の記事 - 企業メディア

企業メディアをもっと読む

はてなブックマーク

公式Twitter

はてなのサービス

Copyright © 2005-2025 Hatena. All Rights Reserved.
設定を変更しましたx

AltStyle によって変換されたページ (->オリジナル) /