利用上傳的檔案跳過 CSP 限制

CSP 可以做到一些簡單的保護機制,但在設計不良的情況下還是有辦法繞過。

這次是上傳合法的 JPEG 檔案,但當作 javascript 檔案繞過去:「Bypassing CSP using polyglot JPEGs」。

開頭的「FF D8 FF E0」可以在「List of file signatures」這邊看到是「JPEG raw or in the JFIF or Exif file format」,而這四個字元在 javascript 不會出問題。接下來的「2F 2A」表示 JPEG header 長度,剛好就是「/*」,把後面的東西給包起來,後面再用類似的方式一直組合就打穿了...

這種攻擊要跳過的是「用 CSP 的 self 限制不能引用外部網站 javascript」的限制,但還是有些前提:

  • 允許使用者傳到同一個 domain 上面。
  • 網站上有 XSS 漏洞。

其中第一個問題常見的解法是另外開一個 domain 來放使用者上傳的檔案 (最好是連 top domain 都不一樣,完全隔開),才可以透過 CSP 降低風險...

Google 在舊金山與洛杉磯開始宅配生鮮食品...

Google Express 延伸業務到生鮮食品上:「Google Launches Fresh-Grocery Deliveries」,與生鮮業者合作。

Google said it would begin delivering produce, meat, eggs and other perishable goods on Wednesday in parts of San Francisco and Los Angeles. The service is part of Google Express, which partners with retailers in some U.S. cities to deliver goods to consumers within hours of an order.

而且是當日配送:

Alphabet Inc.'s Google is expanding its same-day delivery service to fresh groceries, the latest example of the tech titan’s increasing push into consumers’ daily lives.

我以為會掛在 Alphabet 下做,而不是在 Google 下做...