本文的目的是深层次的分析Flash的ExternalInterface的XSS漏洞,并提出比较有效的解决方案。
 
首先,我们看看什么情况下,会出现XSS。
 
第一种情况:
 
     把flashvars传入的参数(或者其他能被别人控制的方式)当ExternalInterface.call的第一个参数
 
package

{

        import flash.display.Sprite;

        import flash.external.ExternalInterface;

        public class XSSTest extends Sprite

       {

               public function XSSTest()

              {

                      var jsFunction:String = loaderInfo.parameters.jsFunction;

                      var param:String = "abc";

                     ExternalInterface.call(jsFunction, param);

              }

       }

}
     注意,这里通过flashvars传递了一个参数,是js的函数。这种方式比较常见,swf可以做成通用,放到不同的业务中使用,每次只需要传入对应的js函数即可。但是,这里就存在漏洞了。
     在浏览器中,构造url: XSSTest.swf?jsFunction=alert(/XSS/),访问swf,并以get参数的形式传入flashvars,结果,造成了
 

 
甚至更狠一点,jsFunction=function(){alert(1);alert(2);}。。。
 
当然,这么恶作剧alert一下,貌似对小白用户没什么损失,但如果在function内调用这个域名的CGI,就能带来很大的惊喜了~~~因为这里能获取到对应的cookie,时间有限,具体攻击的方式,这里不多说。
 
 

第二种情况:
 
     把flashvars传入的参数(或者其他能被别人控制的方式)当ExternalInterface.call的第二和第三个参数
 
    这次,我们使用这段代码: 
   public function XSSTest()

   {

          var param:String = loaderInfo.parameters.param;

          ExternalInterface.call("console.log", param);

   }
     这个方式也许没有这么简单进行XSS,但对于黑客来说,还是有办法的。
 
 
在IE8下调试模式下,我们可以看到ExternalInterface的代码:
 
正常情况下,Flash player会生成这样的代码:
 
try { __flash__toXML(console.log("good" )) ; } catch (e) { "<undefined/>"; }
 
对比自己写的as代码和生成的这段js代码,可以猜测,Flash player是以一种简单的拼接字符串的方式实现的。
 
稍稍做个小把戏,结果就可以注入代码执行了。
 
 
是不是很神奇?怎么做到的呢?为什么url稍稍变化可以达到这样呢。我们看看现在的js代码:
 
try { __flash__toXML(console.log("\\" ));alert(/XSS/);}catch(e){} //")) ; } catch (e) { "<undefined/>"; }
 
正好跟原来的双引号对上了,结果,最后的catch也被替换了。。。也就是说,黑客可以写自己的函数了,想怎么执行都可以了。。。
至于为什么这里双引号对上了,可以简单猜测flash遇到字符串中有双引号的时候,只是简单的以  \"  方式打印成js代码,但如果用户再恶意拼一个\,就负负得正了。。。
 
(这里__flash__toXML的代码并不是关键点了,所以将在文章最后再列出)
 
 
第三种情况:
 
     没有对swf Object的id没有过滤
 
     页面加载Flash,我们需要设定Object或者embed的id,否则ExternalInterface会失效。而这个地方,也会被黑客利用。
 
     我们看看实际执行的代码:
 
try { document.getElementById("XSSTest" ).SetReturnValue(__flash__toXML(alert( null)) ); } catch (e) { document.getElementById("XSSTest" ).SetReturnValue("<undefined/>"); }
 
     看到这里,应该发现跟上边说的第二种情况很类似,黑客可以通过修改了Object id,恶意闭合双引号,达到目的。
 
 
 
 
接下来,简洁的总结一下怎么防XSS。
 
对于第一和第三种情况,我们应该对字符进行过滤,例如用以下的两个函数:
              
               public static function checkJsFunctionValid(functionName:String):Boolean

              {

                      var reg:RegExp = /^[a-zA-Z0-9_\.]+$/;

                      return reg.test(functionName);

              }          

               public static function checkObjectIdValid():Boolean

              {

                      if (ExternalInterface.available)

                     {

                            var objectId:String = ExternalInterface.objectID;

                            if (!objectId || (objectId == objectId.replace(/[^0-9a-zA-Z_]/g , "")))

                                   return true;

                            else

                                   return false;

                     }

                      return true;

              }
对于第二种情况,我们应该尽量避免这样跟js传递数据,但如果实在无法避免。可以用这样的方式转义字符串:
 
str.replace( /[\"\\]/g , function(d:String, b:*, c:*){ return '\\' + d.charCodeAt(0).toString(8); });
 
简单解释一下,这里把双引号和反斜杠这样比较敏感的字符,替换为转义表示。再输出成js代码时,正好又还原回去了。
 
例如:
\\\"\\\"})));}catch(e){alert(/xss/);}//    变成了     \134\42\134\42})));}catch(e){alert(/xss/);}//
 
 
 
 
 
附带额外的在IE8 开发工具中抓获到的代码:
 
function __flash__arrayToXML(obj) {

         var s = "<array>" ;

         for (var i=0; i<obj.length; i++) {

                s += "<property id=\"" + i + "\">" + __flash__toXML(obj[i]) + "</property>";

        }

         return s+"</array>" ;

}

function __flash__argumentsToXML(obj,index) {

         var s = "<arguments>" ;

         for (var i=index; i<obj.length; i++) {

                s += __flash__toXML(obj[i]);

        }

         return s+"</arguments>" ;

}

function __flash__objectToXML(obj) {

         var s = "<object>" ;

         for (var prop in obj) {

                s += "<property id=\"" + prop + "\">" + __flash__toXML(obj[prop]) + "</property>" ;

        }

         return s+"</object>" ;

}

function __flash__escapeXML(s) {

         return s.replace(/&/g, "&amp;" ).replace(/</g, "&lt;").replace(/>/g, "&gt;" ).replace(/"/g, "&quot; ").replace(/'/g, "&apos;");

}

function __flash__toXML(value) {

   var type = typeof(value);

         if (type == "string" ) {

                 return "<string>" + __flash__escapeXML(value) + "</string>";

        } else if (type == "undefined") {

        return "<undefined/>" ;

        } else if (type == "number") {

        return "<number>" + value + "</number>";

        } else if (value == null) {

        return "<null/>" ;

        } else if (type == "boolean") {

        return value ? "<true/>" : "<false/>";

        } else if (value instanceof Date) {

        return "<date>" + value.getTime() + "</date>";

   } else if (value instanceof Array) {

       return __flash__arrayToXML(value);

   } else if (type == "object") {

       return __flash__objectToXML(value);

   } else {

            return "<null/>" ; //???

        }

}

function __flash__addCallback(instance, name) {

  instance[name] = function () {

    return eval(instance.CallFunction("<invoke name=\"" +name+"\" returntype=\"javascript\">" + __flash__argumentsToXML(arguments,0) + "</invoke>" ));

  }

}

function __flash__removeCallback(instance, name) {

  instance[name] = null;

}

Flash XSS 漏洞详解 根治的好办法的更多相关文章

  1. Uboot mmc命令解析&NAND flash uboot命令详解

    转载:http://blog.csdn.net/simonjay2007/article/details/43198353 一:mmc的命令如下: 1:对mmc读操作 mmc read addr bl ...

  2. FLASH动作脚本详解

    FLASH动作脚本详解 一.FLASH脚本基础入门讲解 二.按钮AS的编写 三.影片剪辑的AS编写 四.动态文本框 五.影片剪辑的拖拽 六.流程控制与循环语句 七.绘图及颜色的AS的编写 八.声音 A ...

  3. 渗透测试学习 十七、 XSS跨站脚本漏洞详解

      一般用途:拿cookie进后台,将后台地址一起发送过来 特点:挖掘困难,绕过困难  大纲: XSS漏洞基础讲解 XSS漏洞发掘与绕过 XSS漏洞的综合利用 XSS漏洞基础讲解 XSS介绍: 跨站脚 ...

  4. android WebView详解,常见漏洞详解和安全源码

    这篇博客主要来介绍 WebView 的相关使用方法,常见的几个漏洞,开发中可能遇到的坑和最后解决相应漏洞的源码,以及针对该源码的解析.  转载请注明出处:http://blog.csdn.net/se ...

  5. Java反序列化漏洞详解

      Java反序列化漏洞从爆出到现在快2个月了,已有白帽子实现了jenkins,weblogic,jboss等的代码执行利用工具.本文对于Java反序列化的漏洞简述后,并对于Java反序列化的Poc进 ...

  6. Flash XSS漏洞快速上手

      0x01 Flash XSS xss一是指执行恶意js,那么为什么说flash xss呢?是因为flash有可以调用js的函数,也就是可以和js通信,因此这些函数如果使用不当就会造成xss.常见的 ...

  7. 【转】SPI FLASH与NOR FLASH的区别 详解SPI FLASH与NOR FLASH的不一样

    转自:http://m.elecfans.com/article/778203.html 本文主要是关于SPI FLASH与NOR FLASH的相关介绍,并着重对SPI FLASH与NOR FLASH ...

  8. web漏洞详解及修复建议

    1.漏洞描述 跨站脚本攻击(Cross-site scripting,通常简称为XSS)发生在客户端,可被用于进行窃取隐私.钓鱼欺骗.偷取密码.传播恶意代码等攻击行为. 恶意的攻击者将对客户端有危害的 ...

  9. xss靶场详解

    一个XSS靶场练习记录 https://blog.csdn.net/qq_41500251/article/details/101116697 001.level 1 反射型 1.观察源码 <s ...

随机推荐

  1. centos7 开机启动管理

    查看开机启动项 ls /etc/systemd/system/multi-user.target.wants/ 设置开机启动 systemctl enable mongodb.service

  2. 用Eclipse给安卓应用进行签名

    Eclipse功能强大,用它来给应用进行签名也十分简单.下面是进行签名的步骤

  3. 【转】搜狗开源内部项目管理平台Cynthia意欲何为

    FROM : http://blog.csdn.net/dj0379/article/details/38356825 目前,在项目管理与缺陷管理系统上,中国的中小开发团队基本都在使用国外产品,在理念 ...

  4. django数据模型中 null=True 和 blank=True 有什么区别?

    null 如果为 True , Django 在数据库中会将空值(empty)存储为 NULL .默认为 False . blank 设置字段是否可以为空,默认为False(不允许为空) 和null的 ...

  5. go语言之进阶篇主协程先退出

    1.主协程先退出 示例: package main import ( "fmt" "time" ) //主协程退出了,其它子协程也要跟着退出 func main ...

  6. C#中的HashSet, HashTable, Dictionary的区别【转】

    HashSet和Python中的Set差不多,都是为逻辑运算准备的,HashSet不允许数据有重复,且存入的时单值不是键值对. HashTable和Dictionary差不多,但是他们的实现方式时不同 ...

  7. lync2013 错误: 已为不同的传输层安全性(TLS)目标找到类型为“McxInternal”且完全限定的域名(FQDN)为

    最近 练习安装lync2013 在发布拓扑结构时遇到如下错误: lync 错误: 已为不同的传输层安全性(TLS)目标找到类型为“McxInternal”且完全限定的域名(FQDN)为“lync.co ...

  8. 自定义View 水印布局 WaterMark 前景色 MD

    Markdown版本笔记 我的GitHub首页 我的博客 我的微信 我的邮箱 MyAndroidBlogs baiqiantao baiqiantao bqt20094 baiqiantao@sina ...

  9. Linux上安装Hadoop集群(CentOS7+hadoop-2.8.0)

    1下载hadoop 2安装3个虚拟机并实现ssh免密码登录 2.1安装3个机器 2.2检查机器名称 2.3修改/etc/hosts文件 2.4 给3个机器生成秘钥文件 2.5 在hserver1上创建 ...

  10. Android -- EventBus使用

    EventBus EventBus是一个Android端优化的publish/subscribe消息总线,简化了应用程序内各组件间.组件与后台线程间的通信.比如请求网络,等网络返回时通过Handler ...