加载中…

加载中...

flash(swf)安全总结

转载 2018-03-14 16:32:45
标签:flashswf


前言:Adobe Flash 2017年7月25号,在官方博客上宣布到2020年底停止更新Flash,鼓励开发者尽早使用新的标准( HTML5、WebGL 和 WebAssembly)进行开发

然而现在还有许多视频站正在使用flash作为播放器,故本文还是归纳了部分利用flash(swf)的姿势,与大家交流

0、flash(swf)以宿主域出发(而不是使用域)判断 是否为跨域请求。

A站上的flash文件http://www.a.com/vul.swf, 被B站http://www.b.com/exp.htm拿去使用。此时vul.swf请求a站上的资源是不需要提前获取http://www.a.com/crossdomain.xml判断是否有权限,反而vul.swf请求b站上的资源却需要提前判断是否有权限。这一点与js不同。

1、假若A站上有个上传图片的功能,仅仅作了文件扩展名判断,不允许上传除jpg、png以外的文件

B站攻击者可以将exp.swf改名为exp.png,上传exp.png到A站d的cdn存储http://www.acdn.com/exp.png。然后加载http://www.acdn.com/exp.png到http://www.b.com/attack.html

由于http://www.a.com/crossdomain.xml的白名单列表里面有*.acdn.com,所以http://www.acdn.com/exp.png发送请求到www.a.com不存在跨域问题。发送请求到http://www.a.com/personinfo(浏览器自动携带cookie),将会获取到返回的所有内容。甚至可以模拟用户任意操作。(但发出的请求,会携带referer:http://www.b.com/attack.htm

,X-Requested-With: ShockwaveFlash/28.0.0.126等http头,可以用来进行安全防护 )

简单poc 

cs.png实际内容为flash,会发送请求到info.victim.com,返回的数据传给default_callback回调函数

简单防护:①判断上传文件的mime类型  ②上传文件保存在非crossdomain.xml白名单的域  ③重要操作,根据referer判断来源

 

2、若A站存在大量swf文件,其中一个vul.swf文件代码中设置了allowDomain为*星号

如图

攻击者可以构造attack.swf,反射调用vul.swf中的request(public)函数,(该函数会加载网络资源,且url参数可控),如下

调用request(‘http://www.a.com/personInfo’, getData), 可取得返回的私密信息

简单poc如下,更多关于flash反射调用,参见https://www.cnblogs.com/index-html/p/swf-reflect-priv.html

简单防护:①排查存在allowDomain的swf文件,将request函数设置private属性

另外,通过ExternalInterface.call(“(function (){return window.location.host})”);方式判断host是否在白名单方式,不可行,因为前端js可以劫持__flash__toXML函数,返回任意host,如下方式:

 

3、开源swf组件产生的xss

clipboard.swf,swfupload.swf等,更多

实例:https://github.com/zeroclipboard/zeroclipboard/issues/14

ZeroClipboard.swf从url中获取参数,传给调用ExternalInterface.call函数,实际上浏览器的执行过程为try { __flash__toXML(ZeroClipboard.dispatch(“id”)); } catch (e) { “”; },由于没有过滤参数中的反斜杠\,在flash与js交互中,反斜杠跳过了__flash_toXML函数的限制,导致xss,如下

chrome开发者工具中Ctrl+Shift+F可以调出全局搜索工具,设置search in anonymous and content scripts,可以发现__flash__toXML的调用过程

swfxss挖掘:反编译swf,搜索可疑函数

AS3 获取参数:\.(root|loaderInfo|parameters)[^\w]|[^\w](root|loaderInfo|parameters)\.AS2 获取参数 (remember undefined inputs –follow the sinks):\.(_root|_global|_level0)[^\w]|[^\w](_root|_global|_level0)\.xss: (getURL|ExternalInterface\.call|navigateToURL|\.htmlText)敏感函数:(XMLLoader|AMFService|SWFLoader|loadVariables|loadMovie|loadMovieNum|LoadVars\.load|LoadVars\.send|NetStream\.play|getDefinition|getDefinition|FScrollPane\.loadScrollContent|XML\.load|Sound\.loadSound|NetStream\.play|URLRequest|URLLoader|URLStream|LocalConnection|SharedObject)可疑字符串:(allowInsecureDomain|allowDomain|ExternalInterface|load|xml|sql|url|flashvar|pass|TextField|encr)

练手swf文件:https://github.com/irsdl/Flash-Files-Vulnerability-Database/tree/master/Samples

 

4、Flash 307跳转 绕过http自定义头限制

Ajax发送跨域请求时:

1、增加xmlhttp.withCredentials = true,可以发送带cookie的请求到服务器(且服务器会处理,有CSRF问题)。若服务器没有设置Access-Control-Allow-Origin,ajax无法获取到响应数据

2、设置xmlhttp.setRequestHeader(‘Content-Type’, ‘application/json’)(需要在xmlhttp.open执行之后执行此语句)。浏览器会先发送option请求到服务器,获取服务器设置的Access-Control-Allow-Headers,若没有设置content-type,则请求无法发送出去

(注:设置Content-Type: text/plain不受限制,但’Content-Type’, ‘application/json’受限)

而Flash刚好可以设置http头,且Flash在处理服务器的307跳转时,会将全部信息(包括自定义http头)转发到目标服务器

(flash不能设置referer, origin等http标准头)

攻击者构造swf文件,如下

先发送请求到www.b.com/test.php,而test.php会返回一个307跳转到目标A站


此时Flash会携带着content-type头发送请求到www.a.com,以此可以绕过根据content-type等http头来防护CSRF的网站。

that‘s all, 欢迎大牛来留言补充


阅读(0) 评论(0) 收藏(0) 转载(0) 举报/Report

评论

重要提示:警惕虚假中奖信息
0条评论展开
相关阅读
加载中,请稍后
zzzzfeng
  • 博客等级:
  • 博客积分:0
  • 博客访问:18,988
  • 关注人气:0
  • 荣誉徽章:

相关博文

新浪BLOG意见反馈留言板 电话:4006900000 提示音后按1键(按当地市话标准计费) 欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

新浪公司 版权所有