【CODE BLUE 2023】佐分 基泰 / Motoyasu Saburi

●Abstract

Content-Disposition の "filename" という地雷 -曖昧な要件が原因となる脆弱性- [ja]

"filename" in Content-Disposition is a landmine - vulnerability caused by ambiguous requirements  [en]

今回はテクニカルのカテゴリから「Content-Disposition の "filename" という地雷 -曖昧な要件が原因となる脆弱性-」の講演を行う佐分基泰（さぶり・もとやす）氏のインタビューをお届けします。佐分氏はPayPayのセキュリティエンジニアで、BlueTeamやフィッシングサイト対策、SOCなどを担当されているとのこと。

講演のテーマは、Content-Dispositionの仕様に内在する脆弱性についてです。Content-DispositionはHTTPヘッダーの1つで、HTTP Request／ResponseやEmailで利用され、コンテンツをWebページの一部として表示するのか、ファイルの表示はせずにダウンロードするファイルとするのかといった情報が格納されてます。しかし、ヘッダーのfilename属性には、明確なエスケープ要件が設定されていないため、多くのサービスやWebフレームワーク、プログラミング言語、ブラウザーが脆弱性を抱えているといいます。佐分氏はこの脆弱性を長期にわたり調査。Webブラウザー、ライブラリ、プログラミング言語で20個ほどの脆弱性を発見しました。これらの脆弱性の影響や緊急性はそれほど高いわけではありませんが、Webに関心がある人にとっては、興味深い内容だといえます。

This time we bring you an interview with Motoyasu Saburiｰsan, who will be giving a presentation from the technical category titled " "filename" in Content-Disposition is a landmine - vulnerability caused by ambiguous requirements”.
Saburiｰsan is a security engineer at PayPay, responsible for the Blue Team, phishing site countermeasures, SOC.

The presentation's theme concerns the vulnerabilities inherent in the specifications of Content-Disposition. Content-Disposition is one of the HTTP headers used in HTTP Requests/Responses and Emails, and it contains information on whether to display content as part of a web page or to treat the file as a download without displaying it. However, it is said that many services, web frameworks, programming languages, and browsers harbor vulnerabilities due to the lack of precise escape requirements set for the header's filename attribute. Saburiｰsan has conducted long-term research on this vulnerability. He has discovered about 20 vulnerabilities across web browsers, libraries, and programming languages. While the impact and urgency of these vulnerabilities are not exceptionally high, they can be considered of great interest to those who are concerned with the web.

●Bio

佐分 基泰 [ja]

Motoyasu Saburi [en]

●Interview

［ja］インタビュー

Q1. 今回、カンファレンスで発表する研究を始めたきっかけを教えてください。

A1. Firefox の不自然な挙動を見つけたのが直接的なきっかけです。

Q2. 研究の過程でどのような点で苦労しましたか?

Firefox の不自然な挙動は RFC (と、WHATWG ) の曖昧な仕様が原因でした。そのため、その仕様をもとに作られた多くのシステムが脆弱で、調査や報告がとても大変でした。
他にも、研究対象（Content-Disposition ヘッダ）が、メール / HTTP Reqeust / HTTP Response など幅広く利用されており、研究のスコープが大きくなりすぎた点も苦労しました。

Q3. CODEBLUEの参加者、参加を検討している人に向けてメッセージをお願いします。

A3. 他の方の発表も凄そうなものばかりなので、お時間がある方や興味がある発表が見つかった方は是非！

ｰｰｰ

［en］Interview

Q1. How did you initiate your journey into the topic that you are presenting?

A1. The research began when I noticed unnatural behavior in Firefox.

Q2. What were some challenges you faced during this research?

The unnatural behavior in Firefox was due to the ambiguous specifications in the RFC (and WHATWG). As a result, many systems built on that specification were vulnerable, making the investigation and reporting very challenging.

Additionally, the subject of the research, the Content-Disposition header, is widely used in Emails, HTTP Requests, and HTTP Responses, which made the scope of the research overly broad and presented challenges.

Q3. What message would you like to convey to those considering attending this talk?

A3. There are many great presentations at CODE BLUE. If you have the time and interest, please come.