ファイルアップロード機能の脆弱性を考える Webサイトのセキュリティ対策でまず知っておきたいのがファイルアップロードに対する対策です。 ホワイトハッカーへの道 一歩目で見てきたローカルプロキシーツールを使えば、運用中のサイトについて検証が可能です。 ローカルプロキシーツールburpsuiteを使った攻撃手順は下の動画を参考にしてください。 https://www.youtube.com/watch?time_continue=134&v=LLF-DNsFCfU 攻撃手法 ファイルアップロードからどんな攻撃があるかを見ていきましょう。 BKDR_ZZPEG (JPGファイルのExifにスクリプトを埋め込む攻撃) Exif とは「Exchangeable image file format」の略称です。 jpgにはデータサイズや画素数、圧縮の種類などの情報を保管できる領域が設けられています。
