一种自动化检测Flash中XSS方法的探讨

0x00
前面的话对于如何检测Flash 中的XSS，每个人都有自己的方法，无论是使用成型的自动化工具(比如 swfscan)还是自己开发自动化工具(先反编译，再对 actionscript 代码审计)还是直接人工对代码进行审计。都能够检测到 Flash 中存在的 XSS 漏洞。
但是这些方法会存在一些问题，如：自动化工具属于静态分析，误报比较高，需要投入
大量人工精力去加以分析完全人工效果
最好，但是也更加耗费精力在这里我们来探讨一种动态检测 Flash 中 XSS 的方法，该方法有自己的
优点，但是也有比较明显的缺点，所以本文的标题定位于“探讨”。498)this.width=498;' onmousewheel = 'javascript:return big(this)' border="0" alt="一种自动化检测Flash中XSS方法的探讨" src="http://s3.51cto.com/wyfs02/M00/38/21/wKioL1OzcD_wb3twAADJb9WkTmg601.png" width="352" height="236" />0x01 原理所谓动态检测，就是通过程序加载 Flash 插件，
然后再载入 Flash 文件，对事件和错误信息进行捕捉，再对信息分析来判断 Flash 中是否存在 XSS 漏洞。先
来看下面两张图，以 Firefox 浏览器为例：498)this.width=498;' onmousewheel = 'javascript:return big(this)' style="width: 527px; height: 193px" border="0" alt="一种自动化检测Flash中XSS方法的探讨" src="http://s9.51cto.com/wyfs02/M00/38/20/wKioL1OzbtzzGtAFAACPbCyU5As894.jpg" width="642" height="258" />Firefox 访问 http://test.com/xss.swf?alert=1，Flash 成功执行 JS 代码，弹出对话框。498)this.width=498;' onmousewheel = 'javascript:return big(this)' border="0" alt="一种自动化检测Flash中XSS方法的探讨" src="http://s6.51cto.com/wyfs02/M01/38/20/wKioL1Ozbu_BqBnXAACtiOJv5Tg840.jpg" width="484" height="421" />Firefox 访问 http://test.com/xss.swf?alert=1\"，Flash 执行 JS 报错，显示错误详细信息。Firefox 能够显示 Flash 执行 JS 错误时的详细错误信息。到这里也就
明白检测的原理了，就是：◆程序调用 Firefox◆Firefox 加载 Flash 插件◆Firefox 访问对参数经过构造的 Flash 链接，比如 http://test.com/xss.swf?alert=1\"◆程序捕捉错误信息或者 alert 事件◆根据错误信息或者 alert 事件信息来判断该 Flash 是否存在 XSS 漏洞0x02 具体实现具体如何实现呢?我们不会真的调用 Firefox，而是直接采用一套开源的可以解析 JS 的工具包：CasperJS。下面看下 CasperJS 官网的一段介绍：CasperJS is an open source navigation scripting & testing utility written in Javascript for the PhantomJS WebKit headless browser and SlimerJS (Gecko).CasperJS 目前支持两种引擎：PhantomJS(WebKit内核)和 SlimerJS(Gecko内核)。Gecko内核就是 Firefox 所使用的内核，又通过 CasperJS 文档了解到，使用 SlimerJS 引擎时候可以通过 loadPlugins 来加载 Flash 插件。所以我们就可以通过 CasperJS 来完成我们的功能需求，下面是代码实现：flash_detect.jsvarcasper=require('casper').create({ pageSettings:{ loadImages:true, loadPlugins:true//loadflashplugin }, logLevel:"info", verbose:false}); casper.start('about:blank',function(){}); //catchalert casper.on('remote.alert',function(message){ this.echo('{"type":"alert","msg":"'+message+'"}'); }); //catchpageerrorinfo casper.on('page.error',function(message,trace){ this.echo('{"type":"error","msg":"'+message+'"}'); }); varurl=casper.cli.get(0); casper.thenOpen(url,function(){ this.wait(2000,function(){})//delay2's }); casper.run();代码很简单，就是通过 CasperJS 来访问 Flash 文件，然后捕捉页面中的错误信息和 alert 事件。在这里有一点需要注意就是
有的 Flash 不会立即执行 JS 代码，所以我们在打开一个 Flash 文件后，在当前的页面停留 2 秒。0x03 执行效果我们刚才那个 Flash 文件用这个检测代码检测下看看效果 ，如下：piacaatpiacain~/source$casperjs--engine=slimerjsflash_detect.js"http://test.com/xss.swf?alert=1"{"type":"alert","msg":"1"} piacaatpiacain~/source$casperjs--engine=slimerjsflash_detect.js"http://test.com/xss.swf?alert=1\\\""{"type":"error","msg":"SyntaxError:missing)afterargumentlist"}0x04 写在后面的话实际中我通过访问网上的一些业务，把其中的 Flash 抓下来，然后通过程序去检测，效果还是不错的。当然这其中包括我们自己业务中的 Flash XSS 漏洞。但是目前的检测程序只能是一个 Demo，要想在生产环境中使用，还需要解决以下问题：效率：目前是单进程单线程进行检测，会影响检测效率，同时由于 SlimerJS 会打开一个 GUI 窗口，在一定程度上也会影响效率;误报：在 Demo 中我们没有过多的处理错误信息，所以在实际测试中会有比较多的误报;参数：这里的参数只是 Flash 文件接收的参数，我们通过日志分析等可以快速
获取业务中的 Flash 文件，但是如何获取 Flash 接收的所有参数名呢?上面几个问题并不是致命的问题，我们可以通过多种方法去解决，但是正如前面所说的这个检测程序有个致命的缺点，那就是：这个检测脚本只能检测很明显的 XSS 漏洞，如果 Flash 中对参数有一定的处理措可能就无法进行检测了;所以本文仅仅做自动化检测 Flash 中 XSS 漏洞的探讨。【编辑推荐】reflected_xss检测工具的介绍存储型XSS从易到难的挖掘过程针对XSS漏洞的前端防火墙:无懈可击的钩子针对XSS漏洞的前端防火墙:天衣无缝的防护针对XSS漏洞的前端防火墙:整装待发【责任编辑：蓝雨泪 TEL：（010）68476606】 原文：一种自动化检测Flash中XSS方法的探讨 返回网络安全首页