Hack Eye!

Author: pz
Blog: http://hi.baidu.com/p__z
Team: http://www.80vul.com
date: 2010年7月6日

一 综述

百度空间在个人主页应用上传自定义的Flash模板,Flash显示在主页上的时,HTML容器的 allowNetworking=internal.
使得用户上传的flash可以和网络进行通信.再结合百度空间的CSS编辑,可以进行钓鱼攻击.

[CAL-20100204-3]Adobe Shockwave Player Director文件分析RCSL指针覆盖漏洞

CAL-20100204-2]Adobe Shockwave Player Director文件分析整型溢出漏洞

CAL-20100204-1]Adobe Shockwave Player Director文件分析ATOM size无限循环漏洞

Adobe的Flash技术已经变得越来越流行，现在它不仅用于创建动画和广告，而且还用来开发复杂的互联网应用软件。Flash应用程序（即 SWF文件）不仅可以通过web协议进行分发，并且还能读取本地或者远程文件、建立网络连接，以及跟其他SWF文件进行通信等。通过本文，您将了解具体的 Flash攻击手段，有用的Flash安全审查技巧以及安全有关的开发/配置技术。
一、XSS威胁
从事Web应用程序的开发或者测试工作的人都知道，Web应用程序有一个常见的安全漏洞，即通常所说的跨站点脚本攻击（XSS）。一般地，如果一个 应用程序接受不可信任的源提供的恶意代码，并且在没有对这些数据进行消毒处理的情况下直接将其返回给毫无防备的用户的话，就会发生XSS。虽然Flash 应用程序对XSS及其他类型的安全威胁也没有免疫能力，但是web管理员和Flash应用程序开发人员却能够通过采取相应的安全措施来提高这种新兴技术的 安全性。
一般情况下，进行跨站点脚本攻击时，攻击者需要将恶意脚本代码（诸如JavaScript或者VBScript代码）注入到Web 应用程序中，这通常是通过哄骗用户单击一个链接或者访问一个邪恶的网页来完成的。随后，该web应用程序将在受害者的web会话的上下文中显示并执行注入 的代码。这种攻击通常能导致用户帐户失窃，但是却不会导致执行命令，除非同时利用了浏览器的安全漏洞。因为SWF程序可以嵌入到网站中，并对HTML DOM（文档对象模型）有完全的访问权，所以可以通过利用它们来发动XSS攻击。想像一个显示第三方Flash广告的免费电子邮件web服务：一个恶意的 广告商可以创建一个恶意的SWF应用程序来劫持您的电子邮件帐号，以便发送垃圾邮件。默认时，Flash Player对同域的DOM具有完全的访问权限。
下面介绍针对SWF应用程序的XSS攻击的基本流程。第一步，攻击者必须首先设法将代码注入到应用程序中，以便让代码重新显示给其他用户。 Adobe为程序员提供了各式各样的用户界面组件，诸如组合框、单选按钮以及文本字段等，它们的用法跟HTML表单对象极为相似。此外，让SWF应用程序 接受从外部输入的参数的方法也很多。
我们可以使用 < OBJECT > 和< embed >标签将属性FlashVar嵌入到一个HTML文档中。

图1

此外，还可以直接通过URL传入数据：

图2

另外，可以利用类LoadVars来装载外部数据。

图3

对于ActionScript 2来说，FlashVars会被自动导入到Flash应用程序的变量空间，但是在ActionScript…

现在有几个Windows用户不安装adobe产品的?
两个adobe产品的最新情况:
1. Acrobat reader, 一个好消息一个坏消息
坏消息: 前几天那个0day, Secunia已经搞出来一个不需要JS的exp，
Secunia managed to create a reliable, fully working exploit which does not use…

Flash getURL XSS attacks–Bypass Access in IE
Author: www.80vul.com
1.描叙:
由于近年来flash的安全问题流行,adobe也做了很多的安全措施,包括在ie下getURL调用javascript时是没有办法访问document等 如下as2代码:
getURL(“javascript:alert(document.domain);”, “_self”, “GET”);
用ie6/7/8直接访问时会提示”拒绝访问”的错误.测试url:http://www.80vul.com/flash/1.swf.细心的朋友可能发现刷新1.swf后发现就可以执行弹了.根据这个特点我们可以通过js来实现这个”刷新”动作,导致可以饶过这个安全限制.
2.利用代码:
as2代码:
getURL(“javascript:window.location.reload();alert(document.domain);”, “_self”, “GET”);
测试url:http://www.80vul.com/flash/3.swf
源文件:http://www.80vul.com/flash/3.fla
3.其他
2009.1.1 发现该bug
2009.1.3 报告adobe
2009.1.4 kuza55告诉我已经有人pubic过了[http://blog.guya.net/2008/09/10/bug-in-internet-explorer-security-model-when-embedding-flash/]

日前，网络安全企业iSec Partner推出了一份报告，测试了当前四大主流浏览器IE、Firefox、苹果Safari和Google Chrome的Cookie安全性。
　　最终结果显示，Safari的表现最差。但更严重的问题是，四大浏览器中没有任何一款能够将隐私保护功能扩展到Flash动态网页上。
　　项目负责人Kate McKinley表示，Safari在Mac OS X上的表现非常古怪。当运行在“秘密浏览”模式下时，它会访问存储在系统中的部分Cookie，但却不会访问另外一些。
　　而在Windows系统下，Safari的“秘密浏览”模式则一点都不秘密，所有之前存储的Cookie都能够访问，也不会删除任何新增Cookie。
　　当然，Windows系统下的Safari用户并不多，所以这种问题还不算严重。但Adobe Flash的问题就严重的多了。99%的上网用户都会使用Flash，它会存储自己的Cookie文件，四大浏览器都拿它没有办法。
　　而包括MySpace、亚马逊等在内的许多着名网站都会使用Flash Cookie来存储部分用户信息，并且普通用户无法通过浏览器的隐私设定选项删除这些Cookie。
　　当向Adobe咨询此问题后，得到的回答是：Adobe认为清空Flash Cookie并不比清空浏览器Cookie更复杂，只不过是需要采取不同的步骤，而大多数用户并不清楚怎样做。
　　他们正在同各家浏览器开发商进行合作，争取未来能够实现在浏览器隐私设定选项中同时清空Flash留下的Cookie。(来源：比特网论坛)

By:刺
此类漏洞也是程序员很少注意的问题。
Flash的XSS也是很早就有人关注了，OWASP里还专门有一个扫Flash XSS的工具，叫做swfintruder
最近有人也报了一个常见的flash xss，利用 _root.clickTAG 这个变量
一般是出在 getURL() 函数里。发现者说(google搜出来的)：Recently, 12th of November 2008, I found XSS vulnerabilities in 215000 flash files.
原文引用如下：

XSS:
 

Vulnerability…

由于Discuz!对flash跨域策略文件及上传图片文件处理不严导致可以绕过formhash及Referer的限制,导致csrf攻击. author: 80vul-A team:http://www.80vul.com
Discuz!的安全人员已经意识到csrf方面的漏洞了采用了formhash及判断Referer等来防止外部提交,如果看过<Bypass Preventing CSRF>[1]一文的朋友应该意识到我们可以通过flash来进行csrf攻击.
一 分析
首先我们看Discuz!6开始自带了crossdomain.xml文件,代码如下:
<?xml version="1.0"?><cross-domain-policy><allow-access-from domain="*" /></cross-domain-policy>
允许容易域的访问,对于Discuz!的formhash我们可以通过as来处理得到如下代码:
import RegExp;var xml:XML = new XML();xml.onData = function(s) {tb1.text = …