Reflected File Download (RFD) は、攻撃者が作成したフィッシング URL またはフィッシング ページにアクセスさせて、信頼できるドメインを元にしているように見える任意のコンテンツを含むファイルのダウンロードを開始するという脆弱性の 1 つです。ユーザーは対象のドメインを信頼しているため、ダウンロードしたファイルを開く可能性が高く、結果的に悪意のあるコードが実行されてしまいます。

攻撃者が RFD 攻撃を成功させるには、次の要件を満たす必要があります。
- ターゲット アプリケーションが、適切な検証またはエンコードなしでユーザー入力を反映している。これは、ペイロードを挿入するために使用されます。
- ターゲット アプリケーションが、許容的な URL を許可している。この結果、攻撃者が、ダウンロードされたファイルの名前と拡張子を操作する可能性があります。
- ターゲット アプリケーションの Content-Disposition ヘッダーの設定が間違っている。これにより、HTTP レスポンスの Content-Type ヘッダーと Content-Disposition ヘッダーまたはそのいずれかが攻撃者によって操作される可能性があるほか、ターゲット アプリケーションに、デフォルトではブラウザーにレンダリングされない Content-Type が含まれる場合があります。

たとえば、アプリケーションが Spring Web MVC ContentNegotiationManager を使用して、さまざまなレスポンス形式を動的に生成している場合、RFD 攻撃に必要な条件が整います。

ContentNegotiationManager は、リクエスト パス拡張に基づいてレスポンス形式を決定し、Java Activation Framework (JAF) を使用してクライアントが要求した形式により一致する Content-Type を探すように設定されます。また、リクエストの Accept ヘッダーで送信されるメディア タイプを介してレスポンス コンテンツ タイプを指定することをクライアントに許可します。

例 1: 次の例のアプリケーションは、パス拡張戦略と Java Activation Framework によってレスポンス コンテンツ タイプを決定するように設定されています。

<bean id="contentNegotiationManager" class="org.springframework.web.accept.ContentNegotiationManagerFactoryBean">
  <property name="favorPathExtension" value="true" />
  <property name="useJaf" value="true" />
</bean>

例 2: 次の例のアプリケーションは、リクエストの Accept ヘッダーによってレスポンス コンテンツ タイプを決定するように設定されています。

<bean id="contentNegotiationManager" class="org.springframework.web.accept.ContentNegotiationManagerFactoryBean">
  <property name="ignoreAcceptHeader" value="false" />
</bean>

Spring 4.2.1 での ContentNegotiationManagerFactoryBean プロパティのデフォルト値は次のとおりです。

- useJaf: true
- favorPathExtension: true
- ignoreAcceptHeader: falseExample 1 の構成では、攻撃者が次のような悪意のある URL を作成することが可能です。

http://server/some/resource/endpoint/foo.bat?input=payload

ContentNegotiationManager は、Java Activation Framework (activity.jar がクラスパスにある場合) を使用して、指定したファイル拡張子についてメディア タイプを解決しようとし、それに合わせてレスポンスの ContentType ヘッダーを設定します。この例では、ファイル拡張子は "bat" で、Content-Type ヘッダーは application/x-msdownload です (正確な Content-Type は、サーバーの OS と JAF の設定によって異なります)。その結果、この悪意のある URL にアクセスした被害者のマシンは、攻撃者が操作したコンテンツを含む ".bat" ファイルのダウンロードを自動的に開始します。その後、このファイルが実行されると、被害者のマシンは攻撃者のペイロードで指定されたコマンドを実行します。

Linux C ライブラリ用の Linux 標準ベース仕様 2.0.1 では、一部の内部関数の引数に制約を課しています [1]。この制約を満たさないと、関数の動作は未定義の状態です。
1 の値が、次の File System 関数の第 1 パラメーター (バージョン番号) に渡されている。

	__xmknod

2 の値が、次のワイド文字列関数の第 3 パラメーター (グループ引数) に渡されている。

__wcstod_internal
__wcstof_internal
_wcstol_internal
__wcstold_internal
__wcstoul_internal

3 の値が、次の File System 関数の第 1 パラメーター (バージョン番号) として渡されている。

__xstat
__lxstat
__fxstat
__xstat64
__lxstat64
__fxstat64

使用している C コンパイラーによっては、システム FILE オブジェクトのアドレスが、FILE オブジェクトをストリームとして使用する際に重要になる場合があります。アドレスが関連付けられていない FILE オブジェクトのコピーを使用すると、未定義の動作が生じて、システム情報の漏洩やシステム クラッシュが発生したり、悪意のある攻撃者が自由にファイルの読み取りや編集を行えるようになる可能性があります。

例 1: 次のコードは、値によって間接参照されてコピーされるシステム FILE オブジェクトを示しています。

FILE *sysfile = fopen(test.file, "w+");
FILE insecureFile = *sysfile;

sysfile は insecureFile の割り当てで間接参照されるため、insecureFile を使用すると幅広い問題が発生する可能性があります。

関連するストリームが閉じられた後にシステム FILE オブジェクトに対してファイル操作を実行すると、未定義の動作が発生します。使用している C コンパイラーによっては、ファイル操作でシステム クラッシュが発生したり、同じファイルまたは異なるファイルの変更や読み取りが行われたりする可能性があります。

例 1: 次のコードは、対応するストリームが閉じられた後にシステム FILE オブジェクトを読み取ろうとする試みを示しています。

FILE *sysfile = fopen(test.file, "r+");
res = fclose(sysfile);
if(res == 0){
    printf("%c", getc(sysfile));    
}

getc() 関数は sysfile のファイル ストリームが閉じられた後に実行されるため、getc() で未定義の動作が生じ、システム クラッシュが発生したり、同じファイルまたは異なるファイルの変更や読み取りが行われたりする可能性があります。

管理されるポインタを削除すると、ポインタ管理コードがポインタは引き続き無効であると見なした場合に、プログラムがクラッシュするなど正常ではない動きをする可次の例ではこのエラーについて示します。

  std::auto_ptr<foo> p(new foo);
  foo* rawFoo = p.get();
  delete rawFoo;

このルールの唯一の例外は、管理されるポインタクラスで「切り離す」操作が可能であり、所定のポインタのメモリをプログラマが管理できる場合です。delete のコール前にプログラムによってポインタが管理クラスから切り離されると、この管理クラスはそれ以降ポインタを使用しなくなります。