Začiatkom minulého mesiaca zverejnil bezpečnostný expert známy pod prezývkou MustLive na svojom blogu informáciu, že sa mu podarilo objaviť XSS zraniteľnosť postihujúcu tisíce flashových animácií (súborov) voľne dostupných na internete.
XSS zraniteľnosť je spôsobená Action Script kódom, ktorý umožňuje útočníkovi vložiť nebezpečný kód a využiť tak prítomnosť flashu na danej webovej stránke.
Zraniteľnosť sa nachádza v tomto kóde:
getURL(_root.clickTAG, "_blank");Výsledkom je, že útočník môže nahradiť bežný link JavaScriptom.
Bežná linka vyzerá takto:
http://www.petplan.com/banners/afpp_120x240.swf?clickTAG=http://www.petplan.com/aff.aspx?ID=ruffis&L=3a upravená takto:
http://www.petplan.com/banners/afpp_120x240.swf?clickTAG=javascript:alert('XSS')Ako môžete vidieť, zraniteľnosť sa nachádza vždy v parametri clickTAG a preto je celkom jednoduché vytvoriť tzv. Google Dork, ktorý vyzerá takto:
filetype:swf inurl:clickTAGVýsledkom je, že Google indexuje približne až 159 000 súborov, ktoré trpia touto zraniteľnosťou. Zopár je ich aj na Slovensku a v Čechách.
Ak ste teda majiteľom takéhoto webu, odstráňte si túto zraniteľnosť v čo najkratšom čase. O sile XSS som už písal mnohokrát, preto sa už nebudem opakovať.
Zaujal vás článok? Sledujte ma na Twitteri.
Ciao,
len tento problem ma asi kazdy vacsi server u nas..aj inde…
Funguje to na vsetky premenne .. ktore sa pouzivaju v AD systeme….Napr. Atlas pouziva clicthru
http://ads.atlas.sk/banners/jpsanta_745x100_sk_23424324.swf?clickthru=javascript:alert('XSS‘)
len nikde tam nepisu ako to osetrit :)
tomi: skvele, dakujem. pozriem sa aj na to, to som vobec nevedel. uvidime, co z toho vzide :)
hmm len ci to na nieco je to je otazne … to budes vediet lepsie ty :) ja skor ten flash ..
ale co takato situacia:
mam pofiderny web a nechcem tam davat pofiderne bannery,lebo cez ne sa ludia neprekliknu … tak tam vlozim vierohodny banner, aby ludia nanho klikli, ale presmerujem ho kam chcem ja a este si ho otvorim do noveho okna :)
napr.:
http://cdn.ad2.bbmedia.cz/logos/b71160/banner_zeny_950x200_v2.swf?clickthru=http://blog.synopsi.com&clickTarget=_blank
Flash Player 10 to už má ošetrené :-)
este toto … do flashu sa vlozi: System.security.allowDomain(domena);
snad to pomoze ;)
viac na
http://livedocs.adobe.com/flash/mx2004/main_7_2/wwhelp/wwhimpl/common/html/wwhelp.htm?context=Flash_MX_2004&file=00001750.html
alebo
http://www.adobe.com/support/flash/action_scripts/actionscript_dictionary/actionscript_dictionary721.html
clickTAG sa ale pouzije len pri kliknuti na banner, co v konecnom dosledku podstatne znizuje pocet ludi na ktorych sa da XSS aplikovat. Rovnako potrebujes ten tag modifikovat, co zase znamena, ze uz musis vediet XSS aplikovat na stranku ako taku, kde je takyto banner vlozeny. Alebo sa mylim?
zdravim, zaujimavy clanok, len by som rad vedel ako sa z toho da nieco aj prakticky zneuzit…
dik.
Tahle vec neni nic noveho, jen to nekdo rekl “ven”…
Za ty roky od verze 5. toho byla uz hromada, realne to jde ale dost tezko s nejakym negativnim uzitkem aplikovat, ta sance je opravdu mala, ale je, coz samozrejme problem je.
jeeff: urcite ano. clickTAG je uspesny len po kliknuti, to je samozrejme. no uspesnost je viac ako 0 a to je problem, pretoze aj jeden poskodeny je viac ako ma byt. moze sa kludne stat, ze pojde o web banky a tam skutocne zalezi na kazdej osobe.
a takisto mas pravdu, uspesne znuzitie XSS podmienuje aj znalost daneho webu. Tu vsak ide o to, ze ak mas web skutocne skvele zabezpeceny, mozes ho ohrozit takto cez flash.
fandango: mam rad ludi ako ty. nic nove, ja to poznam roky. nerozumiem preto preco si sa o to nepodelil s dalsimi ludmi? mam pocit ze je to dobra a bezna prax ze ked narazim na nieco podobne informujem o tom ludi.
ci sa to da alebo neda aplikovat uspesne by som asi neposudzoval. social engineering je velmi silna zbran, otazka je, ci ju vies spravne pouzit. ked ludia stiahnu bez najmensich problemov malware lebo chcu vidiet nejake video, preco by neklikli bez problemom na zaujimavy flash banner? nik nehovori ze to postihne 100% navstevnikov, no ako som uz povedal, aj jeden je vela.