Content-Type Başlığı Eksikliği Açıklığı

Content-Type hem http request'te hem de http response'da paketin body'sindeki dosyanın türünü belirtmek için kullanılan bir header'dır. Bir dosya upload'layacaksak upload'ladığımız dosyanın türü http request'teki Content-Type header'ı ile gider. Eğer bir tarayıcıdan bir dosya görüntüleyeceksek (talep edeceksek) sunucudan gelen dosyanın türü bilgisi http response'daki Content-Type header'ında gelir.

"Missing Content-Type header" zafiyeti http request'ten ziyade http response'daki Content-Type header'ının olmayışını ifade etmektedir. Bu zafiyeti anlamak için önce http request'teki Content-Type'ın nasıl istismar edilebileceğini, sonra ise http response'daki Content-Type eksikliğinin nelere sebep olabileceğini görelim.

Diyelim ki hedef web sunucusunda file upload zafiyeti mevcut. Hedef web sunucusuna çerez çalan kodların yer aldığı bir javascript dosyası yollamak istiyoruz. Fakat file upload mekanizması .js uzantılı dosyaları kabul etmiyor olsun ve sadece resim dosyalarını kabul ediyor olsun. Bu durumda javascript dosyamızın uzantısını .jpeg yapabiliriz.

xss-codes.js => xss-codes.jpeg

Ardından dosyayı upload'la deyip burp'le araya girerek http request'teki content-type header'ını sunucunun kabul ettiği resim uzantısı ile doldurabiliriz (örn; image/jpeg )

Http Request Sample:

...
...
Content-Type: image/jpeg
		
(( Javascript dosyası içeriği ))

Eğer hedef web uygulaması gelen dosyanın uzantısını http request'deki Content-Type header'ına bakarak karar veriyorsa bu durumda image/jpeg'i görüp dosya resim dosyasıdır diyecektir ve dosyanın upload'lanmasına izin verecektir. Diyelim ki öyle oldu ve javascript dosyamız hedef web sunucusuna upload'landı ve upload'ladığımız dosyayı tarayıcıdan görüntülemeye (talep etmeye) çalıştık. Tarayıcılar varsayılan olarak sunucudan gelen dosyaların uzantısını içindeki veriye bakarak belirleme methodu güttüklerinden dosyamız resim dosyası görünse bile içi javascript kodları ile dolu olduğundan tarayıcı dosyayı javascript olarak çalıştıracaktır. Dolayısıyla bu dosyayı tarayıcılarında görüntüleyen herkes xss saldırısına maruz kalacaktır. Halbuki dosyanın geldiği http response'da Content-Type header'ı ile dosyanın türünü belirtseydik ve beraberinde X-Content-Type-Options: nosniff ile tarayıcının uzantı analiz etme işlevini dosya içine bakarak değil de response'daki Content-Type header'ına bakarak yap deseydik tarayıcı dosya uzantısını http response'daki Content-Type header'ına bakarak belirleyecekti ve buna göre dosyayı çalıştıracağından xss-codes.jpeg dosyamız javascript olarak değil, resim olarak çalıştırılacaktı. Böylece olası bir xss saldırısının önüne geçilmiş olacaktı.

Dolayısıyla diyebiliriz ki sunucun upload mekanizlarını atlatmak için http request'teki Content-Type header'ı manipule edildiğinden http request'teki content-type header'ı baz alınacak bir header değildir. Fakat tarayıcılar gelen dosyaları görüntülemeye çalıştıkları durumlarda dosya türünü belirleme ve ona göre çalıştırma işini sunucudan gelen http response'daki Content-Type header'ını baz alarak yapmalıdırlar. Diğer türlü sunucuda zararlı bir dosya varsa tarayıcı o dosyayı sunucunun zannetiği halde değil de zararlı haliyle çalıştıracaktır. Sonuç olarak geliştiriciler upload'lamada dosya türü kontrolünü http request'teki content-type'a göre kurgulamamalıdırlar. Ancak tarayıcıdan sunucudaki bir dosya talep edildiğinde tarayıcının dosya türünü belirlemesi ve ona göre çalıştırması olayı http response'daki content-type'a bakarak olmalıdır. Böylece sunucuda zararlı bir dosya olsa bile o dosya tarayıcıdan talep edildiğinde tarayıcı dosyayı content-type header'ında belirtilen uzantıya göre çalıştıracağından (örneğin javascript dosyamızı resim olarak çalıştıracağından) istemci zarar görmeyecektir.

Sonuç

Content-Type talep ve yanıt başlığı kaynağın türünü belirtmek için kullanılır. X-Content-Type-Options yanıt başlığı ise Content-Type başlığının önerdiği kaynak türünün değiştirilmemesini ve ona uyulmasını belirtmek için sunucu tarafından tarayıcı verilen bir uyarıdır. Böylece kaynak türü oynamaları ile tarayıcıda kaynakların farklı yorumlanmasının (çalıştırılmasının) önüne geçilmiş olur.

Missing Content-Type Header Zafiyeti Nasıl Kapatılır?

(-) Birebir denenmemiştir.

Bu zafiyeti kapatmak için birinci adım

Content-Type:

başlığını sunucu bir kaynak (.html gibi) dönerken yanıt paketinde ekli şekilde servis etmelidir. İkinci adım ise

X-Content-Type-Options:

başlığını sunucu aynı kaynağı dönerken yanıt pakette ekli şekilde servis edilmelidir. İkinc adım eski IE ve eski Chrome tarayıcılarda gelen yanıt paketinin body’sinde farklı türden content olduğunda content sniff’leme ile farklı türden content’e göre render yapması ve örneğin xss gibi kodların çalıştırılmasını önlemek içindir. Bu başlık ile bu türden tarayıcılara content’i sniff’leyerek tür belirleme, Content-Type ile belirtilen türe göre content’i render’la denmiş olur ve farklı türden content enjekte edilen durumlarda bu content’ler çalışmaz yapılır.

Http response'lara X-Content-Type header'ını eklemek için nginx, apache ve IIS konfigurasyon dosyalarına aşağıdaki satırlar eklenmelidir.

Not:

Apache X-Content-Type-Options header'ını uygulamalı olarak eklemek için bkz. Ubuntu Masaüstü / Paketleme için Gözden Geçirilecekler / Sıkılaştırmalar / Apache'de Http Güvenlik Başlıklarını Ekleme.docx

# Apache için

Header always set X-Content-Type-Options "nosniff"

# Nginx için

add_header X-Content-Type-Options nosniff;

# IIS için

<httpProtocol>
 <customHeaders>
    <add name="X-Content-Type-Options" value="nosniff" />
 </customHeaders>
</httpProtocol>

Böylece http response'larda X-Content-Type-Options header'ı gelecektir ve tarayıcı gelen dosyaları sunucunun belirttiği uzantıyla çalıştıracaktır. Diğer bir ifadeyle böylece tarayıcı gelen dosyaları http response'daki content-type'ın belirttiği uzantıyla çalıştıracaktır.

Yararlanılan Kaynaklar

https://www.mehmetince.net/http-security-headerlari-neden-ve-nasil-kullanilmalidir/
https://stackoverflow.com/questions/23714383/what-are-all-the-possible-values-for-http-content-type-header
https://www.keycdn.com/blog/http-security-headers/
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Type
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options
https://netsparker.com/web-vulnerability-scanner/vulnerabilities/missing-content-type-header/

Bu yazı 27.08.2024 tarihinde, saat 16:57:45'de yazılmıştır.

Yazar : Hasan Fatih ŞİMŞEK

Görüntülenme Sayısı : 20

Yorumlar

Henüz yorum girilmemiştir.

Yorum Ekle

	#Kategoriler
	->	Genel
	->	Webgoat Uygulaması
	->	DVWA Uygulaması
	->	Çeşitli Sızma Teknikleri
	->	Siber Güvenlik Araçları
	->	Linux Temelleri
	->	Siber Güvenlik Genel Kültür

#Popüler Yazılar
	->	Faz Açısını Hesaplama
	->	Hub, Switch, Router, Modem, Gateway ve Access Point Farkları
	->	Ders 12 - Ajax Security > DOM-Based cross-site scripting
	->	GET ile POST Arasındaki Fark
	->	BGA Sınav Soruları 2016

#En Son Yazılar
	->	SSH Tünelleme
	->	Router İçerisindeki Firewall ve DHCP
	->	Proxy vs VPN
	->	OSI ve TCP-IP
	->	Nmap Kullanımı 2 - Çıkardığım Notlarım

#Arşiv
	► 2014 ► Ekim (1) • Blog Maceram Başlar ► Kasım (7) • Parazit ve Gürültü Arasındaki Fark Nedir? • Stack ve Heap Arasındaki Fark • Sinyal Denkleminin Anlamı • Periyot ve Frekans Nedir? • Faz Açısını Hesaplama • Üniversite Öğrencilerinin Sağlık Aktivasyonu • Nesne Yönelimli Programlama Nedir ► Aralık (3) • Skype'ta Birbirimizin Sesini Nasıl Duyuyoruz? • Hub, Switch, Router, Modem, Gateway ve Access Point Farkları • Askerlikle İlgili Sorular ► 2015 ► Ocak (1) • Dev Firmaların Mülakatlarda Sorduğu 15 Çetin Soru ► Şubat (4) • Yapay Zeka İnsanı Geçemez • Webgoat Nedir? • Ubuntu 14.04 LTS Linux'a Webgoat Kurulumu • Windows'a Webgoat Kurulumu ► Mart (1) • Ders 1 - Introduction(Giriş) ► Nisan (3) • Ders 2 - General > Http Basics • Ders 3 - General > Http Split • Ders 4 - Access Control Flaws > Using an Access Control Matrix ► Mayıs (7) • Ders 5 - Access Control Flaws > Bypass a Path Based Access Control Scheme • Ders 6 - Role Based Access Control > Stage 1 • Ders 7 - Role Based Access Control > Stage 2 • Ders 8 - Role Based Access Control > Stage 3 • Ders 9 - Role Based Access Control > Stage 4 • Ders 10 - Access Control Flaws > Remote Admin Access • Ders 11 - Ajax Security > Same Origin Policy Protection ► Haziran (4) • Ders 12 - Ajax Security > DOM-Based cross-site scripting • Ders 13 - Ajax Security > Client Side Filtering • GET ile POST Arasındaki Fark • Ders 14 - Ajax Security > DOM Injection ► Temmuz (7) • Ders 15 - Ajax Security > XML Injection • Ders 16 - Ajax Security > JSON Injection • Ders 17 - Ajax Security > Silent Transactions Attacks • UML Sınıf Diyagramları • UML Sınıf Diyagramı İlişkileri • Association vs. Aggregation vs. Composition • Ders 18 - Ajax Security > Dangerous Use of Eval ► Ağustos (2) • Ders 19 - Ajax Security > Insecure Client Storage • Ders 20 - Authentication Flaws > Password Strength ► Eylül (11) • Ders 21 - Authentication Flaws > Forgot Password • Ders 22 - Authentication Flaws > Basic Authentication • Ders 23 - Authentication Flaws > Multi Level Login 1 • Ders 24 - Authentication Flaws > Multi Level Login 2 • Ders 25 - Buffer Overflows > Off-by-One Overflows • Ders 26 - Code Quality > Discover Clues in the HTML • Ders 27 - Concurrency > Thread Safety Problems • Ders 28 - Concurrency > Shopping Cart Concurrency Flaw • Ders 29 - Cross-Site Scripting (XSS) > Phishing with XSS • Ders 30 - Cross-Site Scripting (XSS) > Stage 1: Stored XSS • Ders 31 - Cross-Site Scripting > Stage 2: Block Stored XSS using Input Validation ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2016 ► Ocak (27) • DVWA Nedir? • Windows'a DVWA Kurulumu • Ubuntu 14.04 LTS Linux'a DVWA Kurulumu • Ders 1 - DVWA'ya Giriş • Ders 2 - Brute Force (Low Level) • Ders 3 - Brute Force (Medium Level) • Ders 4 - Command Injection (Low Level) • Ders 5 - Command Injection (Medium Level) • Ders 6 - Command Injection (High Level) • Ders 7 - Cross Site Request Forgery (Low Level) • Ders 8 - File Inclusion (Low Level) • Ders 9 - File Inclusion (Medium Level) • Ders 10 - File Inclusion (High Level) • Ders 11 - File Upload (Low Level) • Ders 12 - File Upload (Medium Level) • Ders 13 - File Upload (High Level) • Ders 14 - SQL Injection (Low Level) • Ders 15 - SQL Injection (Low Level) II • Ders 16 - SQL Injection (Medium Level) • Ders 17 - Blind SQL Injection (Low Level) • BGA Sınav Soruları 2016 • Ders 18 - Blind SQL Injection (Medium Level) • Ders 19 - Reflected XSS (Low Level) • Ders 20 - Reflected XSS (Medium Level) • Ders 21 - Reflected XSS (High Level) • Ders 22 - Stored XSS (Low Level) • Ders 23 - Stored XSS (Medium Level) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2017 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2018 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (1) • Ve Blog'a Döndüm ► Ekim (0) ► Kasım (6) • Metasploit Framework'e Giriş • Metasploit ile Bir Sızma Uygulaması (ms08-067) • Metasploit Saldırı Aşamaları (Özet) • Metasploit Komutları • Metasploit Detay Bilgiler • Metasploit Detay Bilgiler (Özet) ► Aralık (0) ► 2019 ► Ocak (0) ► Şubat (0) ► Mart (2) • Arp Spoofing Saldırısı Nedir ve Nasıl Yapılır • Arp Spoofing İlave Uygulamalar ► Nisan (0) ► Mayıs (0) ► Haziran (1) • Oyun Motoru Nedir ► Temmuz (1) • Haberleşme Teknolojisi ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2020 ► Ocak (1) • Siber Güvenlikte Düşük Seviye Açıklık Nedir ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2021 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2022 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (1) • Apache Web Sunucuyu Yurt Dışı (Türkiye Dışı) Trafiğe Kapama ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2023 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ▼ 2024 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (58) • APT Saldırısı Nedir • Bug vs Vulnerability • CAPEC Nedir ve Kullanımı • CTF Nedir • CVE Nedir ve Kullanımı • CWE vs CVE • Character Set, Character Encoding ve Character Reference Nedir • Exploit Arama Yöntemi • Framework Nedir • Mirai Zararlısı Nedir • Paypal ve Güvenlik • RAT Nedir • Ransomware Nedir • Bir Siteye Shell Atmanın 20 Temel Yöntemi • Sisteminizi Shell'lerden Korumanın Yöntemleri • Sosyal Mühendislik Saldırı Türleri • Stagefright Virüsü Nedir • Vulnerability Scanner'ların Çalışma Mantığı • Crypto 101 - Notlarım • ASP.NET'te .config Dosyalarının Hiyerarşisi ve Sıkılaştırma için Web.config Dosyası Oluşturma • Authentication vs Authorization • Brute Force ve Dictionary Saldırılarını CSRF Token ile Önleme • CSRF Nedir ve Nasıl SameSite ile Tamamen Önlenir • Edge, Chrome ve Firefox'da Önbellek Tazeleme • DVWA Blind SQL Injection Hakkında Ek Not • HTTP Range Başlığı Nedir • Paylaşımlı Hosting'de Komşu Web Sitelerini Tespit Etme • Mass Deface Nedir • Cookie'ye HttpOnly, Secure ve Same-Site Bayraklarının Uygulanmaması Açıklığı • Email Adres İfşası Açıklığı • Feature Policy Başlığı • HTTP Strict Transport Security (HSTS) Başlığı Nedir • Insecure Frame Usage (External) Açıklığı • Güvensiz İletişim Güvenlik Protokolü Açıklığı • Content-Type Başlığı Eksikliği Açıklığı • Subresource Integrity (SRI) Eksikliği Açıklığı • Cacheable Https Response Açıklığı • CSRF Korumasız HTML Formu Açıklığı • Yanlış Yapılandırılmış Access-Control-Allow-Origin Başlığı Açıklığı • Remote File Inclusion (RFI) Saldırısı ve Korunma Yöntemi • Tamper Data Nedir • User Agent Başlığı Nedir • Web Hosting vs VPS Hosting • OWASP Mutillidae Web Uygulaması Açıklıklar Listesi • Mobil Penetrasyon Testi Nedir ve Neleri Kapsar? • iOS Uygulama Pentest - Kısa Kısa Notlarım • Kerberos Nedir • Temel Windows CMD Komutları • İnternet Ağı Şeması • DNS DOS Saldırılarına Karşı Önlem • DNS Zone Nedir • NAT (Network Address Translation) Nedir • Netcat ile Sistem Ele Geçirme Senaryosu Örneği • Nmap Kullanımı 1 - Çıkardığım Notlarım • Nmap Kullanımı 2 - Çıkardığım Notlarım • OSI ve TCP-IP • Proxy vs VPN • Router İçerisindeki Firewall ve DHCP ► Eylül (1) • SSH Tünelleme

#Giriş

	ID	:
	Şifre	: