今回は、Reflected File Downloadという攻撃を試してみました。 Reflected File Download攻撃と聞いてあまり聞き慣れない方もいるかと思いますが、この攻撃手法は今年2014年のBlack Hatで「A New Web Attack Vector」として紹介されていたものです。 eu-14-Hafif-Reflected-File-Download-A-New-Web-Attack-Vector.pdf Reflected File Download攻撃とは、攻撃者が指定したファイル名でユーザにファイルをダウンロードさせる攻撃です。またこの際攻撃者はファイルの内容をある程度(あるいは完全に)指定することが出来ます。 ちなみにこの脆弱性、Googleに存在していましたが現在は修正されています。 Reflected File Download (RFD) |