一种自动化检测Flash中XSS方法的探讨

安全 应用安全 自动化
对于如何检测 Flash 中的 XSS,每个人都有自己的方法,无论是使用成型的自动化工具(比如swfscan)还是自己开发自动化工具(先反编译,再对actionscript代码审计)还是直接人工对代码进行审计。都能够检测到 Flash 中存在的 XSS 漏洞。

0x00 前面的话

对于如何检测Flash 中的XSS,每个人都有自己的方法,无论是使用成型的自动化工具(比如 swfscan)还是自己开发自动化工具(先反编译,再对 actionscript 代码审计)还是直接人工对代码进行审计。都能够检测到 Flash 中存在的 XSS 漏洞。但是这些方法会存在一些问题,如:

自动化工具属于静态分析,误报比较高,需要投入大量人工精力去加以分析

完全人工效果最好,但是也更加耗费精力

在这里我们来探讨一种动态检测 Flash 中 XSS 的方法,该方法有自己的优点,但是也有比较明显的缺点,所以本文的标题定位于“探讨”。

一种自动化检测Flash中XSS方法的探讨

0x01 原理

所谓动态检测,就是通过程序加载 Flash 插件,然后再载入 Flash 文件,对事件和错误信息进行捕捉,再对信息分析来判断 Flash 中是否存在 XSS 漏洞。

先来看下面两张图,以 Firefox 浏览器为例:

一种自动化检测Flash中XSS方法的探讨

Firefox 访问 http://test.com/xss.swf?alert=1,Flash 成功执行 JS 代码,弹出对话框。

一种自动化检测Flash中XSS方法的探讨

Firefox 访问 http://test.com/xss.swf?alert=1\",Flash 执行 JS 报错,显示错误详细信息。Firefox 能够显示 Flash 执行 JS 错误时的详细错误信息。

到这里也就明白检测的原理了,就是:

◆程序调用 Firefox

◆Firefox 加载 Flash 插件

◆Firefox 访问对参数经过构造的 Flash 链接,比如 http://test.com/xss.swf?alert=1\"

◆程序捕捉错误信息或者 alert 事件

◆根据错误信息或者 alert 事件信息来判断该 Flash 是否存在 XSS 漏洞

0x02 具体实现

具体如何实现呢?我们不会真的调用 Firefox,而是直接采用一套开源的可以解析 JS 的工具包:CasperJS。下面看下 CasperJS 官网的一段介绍:

CasperJS is an open source navigation scripting & testing utility written in Javascript for the PhantomJS WebKit headless browser and SlimerJS (Gecko).

CasperJS 目前支持两种引擎:PhantomJS(WebKit内核)和 SlimerJS(Gecko内核)。Gecko内核就是 Firefox 所使用的内核,又通过 CasperJS 文档了解到,使用 SlimerJS 引擎时候可以通过 loadPlugins 来加载 Flash 插件。

所以我们就可以通过 CasperJS 来完成我们的功能需求,下面是代码实现:

flash_detect.js

  1. var casper = require('casper').create({  
  2.     pageSettings: {  
  3.         loadImages:  true,   
  4.         loadPlugins: true // load flash plugin  
  5.     },  
  6.     logLevel: "info",  
  7.     verbose: false 
  8. });  
  9.    
  10. casper.start('about:blank'function() {});  
  11.    
  12. // catch alert   
  13. casper.on('remote.alert'function(message) {  
  14.     this.echo('{"type": "alert", "msg":"' + message + '"}');  
  15. });  
  16.    
  17. // catch page error info  
  18. casper.on('page.error'function(message, trace) {  
  19.         this.echo('{"type": "error", "msg":"' + message + '"}');  
  20. });  
  21.    
  22. var url = casper.cli.get(0);  
  23.    
  24. casper.thenOpen(url, function() {  
  25.         this.wait(2000, function(){})   // delay 2's  
  26. });  
  27.    
  28. casper.run(); 

代码很简单,就是通过 CasperJS 来访问 Flash 文件,然后捕捉页面中的错误信息和 alert 事件。在这里有一点需要注意就是有的 Flash 不会立即执行 JS 代码,所以我们在打开一个 Flash 文件后,在当前的页面停留 2 秒。

0x03 执行效果

我们刚才那个 Flash 文件用这个检测代码检测下看看效果 ,如下:

  1. piaca at piaca in ~/source$ casperjs --engine=slimerjs flash_detect.js "http://test.com/xss.swf?alert=1" 
  2. {"type""alert""msg":"1"}  
  3.    
  4. piaca at piaca in ~/source$ casperjs --engine=slimerjs flash_detect.js "http://test.com/xss.swf?alert=1\\\"" 
  5. {"type""error""msg":"SyntaxError: missing ) after argument list"

0x04 写在后面的话

实际中我通过访问网上的一些业务,把其中的 Flash 抓下来,然后通过程序去检测,效果还是不错的。当然这其中包括我们自己业务中的 Flash XSS 漏洞。

但是目前的检测程序只能是一个 Demo,要想在生产环境中使用,还需要解决以下问题:

效率:目前是单进程单线程进行检测,会影响检测效率,同时由于 SlimerJS 会打开一个 GUI 窗口,在一定程度上也会影响效率;

误报:在 Demo 中我们没有过多的处理错误信息,所以在实际测试中会有比较多的误报;

参数:这里的参数只是 Flash 文件接收的参数,我们通过日志分析等可以快速获取业务中的 Flash 文件,但是如何获取 Flash 接收的所有参数名呢?

上面几个问题并不是致命的问题,我们可以通过多种方法去解决,但是正如前面所说的这个检测程序有个致命的缺点,那就是:

这个检测脚本只能检测很明显的 XSS 漏洞,如果 Flash 中对参数有一定的处理措可能就无法进行检测了;

所以本文仅仅做自动化检测 Flash 中 XSS 漏洞的探讨。

责任编辑:蓝雨泪 来源: 乌云知识库
相关推荐

2018-12-14 14:30:12

安全检测布式系测试

2014-09-19 09:13:16

2018-04-18 07:34:58

2017-12-11 10:40:14

2017-05-02 14:41:00

网络钓鱼机器学习社会工程

2012-01-17 11:02:39

2009-12-23 16:33:34

WPF UI自动化测试

2021-03-11 14:23:17

云计算混合云工具

2023-11-03 07:27:19

物联网传感器信息

2021-03-02 10:55:07

云计算自动化云应用

2009-12-23 16:27:49

WPF UI自动化模型

2023-10-30 17:41:29

机器人自动化

2022-10-17 15:59:40

Shell脚本终端

2023-03-20 15:14:39

视觉回归测试软件开发

2023-09-08 15:29:41

自动化人工智能

2018-02-25 19:29:49

自动化数字化IT

2024-03-08 09:29:42

车道检测AI

2013-12-19 09:23:15

2015-07-28 13:36:04

2023-01-26 23:46:15

点赞
收藏

51CTO技术栈公众号