360某处Flash应用存在 漏洞 ,可能导致跨站脚本攻击。 在一切开始之前,我们先来说明几个基本的问题。
1.SWF如何被嵌入HTML页面的 此处所说的嵌入,就是指当你打开一个网页,这个网页中包含着SWF媒体文件,通常是embed或者object标签的形式。SWF嵌入HTML时,embed或者object标签通常还含有几个特定的属性,关键的有allowScriptAccess以及allowNetworking。 allowScriptAccess控制着SWF文件与HTML页面通信的级别,这里所说的通信,包括但不仅限于让SWF执行JS,还囊括了从JS调用SWF里预留出的api接口。 allowScriptAccess有以下三个值: always 允许任意SWF文件与HTML页面通信。 never 禁止任意SWF文件与HTML页面通信。 samedomain 只有在SWF文件来自与HTML页相同的域时才允许通信。 当未指定allowScriptAccess时,samedomain为默认值。
allowNetworking控制着SWF文件与WEB通信的级别,这里所说的通信,基本上就是发送、读取网络上的资源文件,以及控制浏览器的页面导航。 allowNetworking有以下三个值: all 无任何限制。 internal 禁止控制浏览器页面导航的函数。 none 禁止任何网络通信。 当未指定allowNetworking时,all为默认值。
2.我直接打开SWF文件时发生了什么 如果你在直接打开SWF文件时,使用IE开发者工具或者Firebug查看DOM源码就会发现,其实你打开的还是一个HTML页面,页面的内容只有一行代码: <embed type="application/x-shockwave-flash" src="[SWF URL]" name="plugin" height="100%" width="100%"> 前面我们已经讲了两个基本的属性,这里都没有指定,那么Flash Player自动取其默认值:allowScriptAccess=samedomain & allowNetworking=all.
在明白了上面两点之后,我们就能下面几个容易让人混淆的问题作出解答:
- a测试数据 的html页面 embed 了一个 b测试数据 的xss.swf,脚本执行域是哪个域? - a测试数据 因为swf并不能执行JS,我们见到的他所执行的JS,其实是flash player通过调用承载他的html页面的js来实现的,所以是a测试数据。
- a测试数据 的html页面 iframe 了一个 b测试数据 的xss.swf,脚本执行域是哪个域? - b测试数据 因为iframe了一个swf,其实是iframe了一个只有一行代码的HTML页面,html页面的域是b测试数据,故脚本的执行域也是b测试数据。
- a测试数据/load.swf能够加载任意的swf,我直接打开http:// HdhCmsTest2cto测试数据 /load.swf?url=http://b测试数据/xss.swf,能不能执行脚本? - 不能,因为直接打开一个swf,他的allowScriptAccess是samedomain,而xss.swf的域是b测试数据,所以不能执行JS。
Flash里能执行JS的脚本函数有以下:
getURL(AS2) / navigateToURL (AS3) flash.external.ExternalInterface.call(methodName:String, [parameter1:Object])
我们只需要搜索getURL/navigateToURL/ExternalInterface.call等关键字,然后在逆溯变量是否可控,就可以找到一些最基本的XSS漏洞。
以360的这个swf为例,
搜索ExternalInterface.call,我们发现了下面的代码。
public static function initLanguage() : void { var _loc_1:* = null; Param.language = {}; if (ExternalInterface.available) { _loc_1 = ExternalInterface.call(Param.jsLang); if (_loc_1 != null) { Param.language["CX0189"] = _loc_1["CX0189"]; Param.language["CX0193"] = _loc_1["CX0193"]; _loc_1 = null; } } return; }
回溯Param.jsLang
this.parameter = this.loaderInfo.parameters; ... Param.jsFunc = this.parameter["jsfunc"]; ... Param.initLanguage()
这里的loaderInfo.parameters就是接受外部以flashvars或者类似a.swf?a=va&b=vb形式传入的变量和值。
这里我们打开 http://wan.360.cn/swf/avatar.swf?jslang=alert(1)
这里我们也许还有一个疑问,在官方的帮助文档里,flash.external.ExternalInterface.call可以接受两个参数,第一个是methodName,第二个是要传入的变量,那么对于上面的poc,正确的调用方法应该是flash.external.ExternalInterface.call("alert","1")才是,为什么flash.external.ExternalInterface.call("alert(1)")也能成功。
我们打开ie的调试工具,借用80vul测试数据上的demo,看看swf执行js时候发生了什么。
try { __flash__toXML(alert("1")) ; } catch (e) { "<undefined/>"; } __flash__toXML是将函数执行的结果进行编码后传回SWF的函数,外面再嵌套了一层容错语句,看来一切和预想的一样
try { __flash__toXML(alert(2)("1")) ; } catch (e) { "<undefined/>"; } JS先执行了alert(2),弹出对话框。 再单步进入
alert函数没有返回值,alert(2)("1")出错,所以跳到了catch语句
这样一来,就能解释为什么即使不按adobe的文档说明的方法进行调用,也能执行js了,再多说一句,由于这样会引起出错导致SWF接收不到JS返回的值,所以在某些特定的情况下,我们要对插入的函数进行进一步的变化,比如 http://HdhCmsTest80vul测试数据/xss.swf?a=(function(_a){alert(_a);return function(_z){prompt(2,3)};return 5})(1)&b=4 这样,SWF就可以接收到我们可以任意构造的返回值 5 了。
原始SWF 下载 :http://swfpoc.appspot测试数据/vul/wan.360.cn_swf_avatar.swf 修复方案: 正则匹配下,只允许[a-zA-Z\.]
查看更多关于Flash应用安全系列[1]--360反射型跨站 - 网站安全的详细内容...