Flash XSS 漏洞詳解 根治的好辦法

本文的目的是深層次的分析Flash的ExternalInterface的XSS漏洞，並提出比較有效的解決方案。

 

首先，咱們看看什麼狀況下，會出現XSS。

 

第一種狀況：

 

     把flashvars傳入的參數（或者其餘能被別人控制的方式）當ExternalInterface.call的第一個參數

 

package
{
        import flash.display.Sprite;
        import flash.external.ExternalInterface;
       
        public class XSSTest extends Sprite
       {
               public function XSSTest()
              {
                      var jsFunction:String = loaderInfo.parameters.jsFunction;
                      var param:String = "abc";
                     ExternalInterface.call(jsFunction, param);
              }
       }
}

 

     注意，這裏經過flashvars傳遞了一個參數，是js的函數。這種方式比較常見，swf能夠作成通用，放到不一樣的業務中使用，每次只須要傳入對應的js函數便可。可是，這裏就存在漏洞了。

     在瀏覽器中，構造 url: XSSTest.swf?jsFunction=alert(/XSS/)，訪問swf，並以get參數的形式傳入flashvars，結果，形成了

 

 

 

甚至更狠一點， jsFunction=function(){alert(1);alert(2);}。。。

 

固然，這麼惡做劇alert一下，貌似對小白用戶沒什麼損失，但若是在function內調用這個域名的CGI，就能帶來很大的驚喜了~~~由於這裏能獲取到對應的cookie，時間有限，具體攻擊的方式，這裏很少說。

 

 

第二種狀況：

 

     把flashvars傳入的參數（或者其餘能被別人控制的方式）當ExternalInterface.call的第二和第三個參數

 

    此次，咱們使用這段代碼：  

   public function XSSTest()
   {
          var param:String = loaderInfo.parameters.param;
          ExternalInterface.call("console.log", param);
   }

     這個方式也許沒有這麼簡單進行XSS，但對於黑客來講，仍是有辦法的。

 

 

在IE8下調試模式下，咱們能夠看到ExternalInterface的代碼：

 

正常狀況下，Flash player會生成這樣的代碼：

 

try { __flash__toXML(console.log("good" )) ; } catch (e) { "<undefined/>"; }

 

對比本身寫的as代碼和生成的這段js代碼，能夠猜想，Flash player是以一種簡單的拼接字符串的方式實現的。

 

稍稍作個小把戲，結果就能夠注入代碼執行了。

 

 

是否是很神奇？怎麼作到的呢？爲何url稍稍變化能夠達到這樣呢。咱們看看如今的 js代碼：

 

try { __flash__toXML(console.log("\\" ));alert(/XSS/);}catch(e){} //")) ; } catch (e) { "<undefined/>"; }

 

正好跟原來的雙引號對上了，結果，最後的catch也被替換了。。。也就是說，黑客能夠寫本身的函數了，想怎麼執行均可以了。。。

至於爲何這裏雙引號對上了，能夠簡單猜想flash遇到字符串中有雙引號的時候，只是簡單的以  \"  方式打印成js代碼，但若是用戶再惡意拼一個\，就負負得正了。。。

 

（這裏__flash__toXML的代碼並非關鍵點了，因此將在文章最後再列出）

 

 

第三種狀況：

 

     沒有對swf Object的id沒有過濾

 

     頁面加載Flash，咱們須要設定Object或者embed的id，不然ExternalInterface會失效。而這個地方，也會被黑客利用。

 

     咱們看看實際執行的代碼：

 

try { document.getElementById("XSSTest" ).SetReturnValue(__flash__toXML(alert( null)) ); } catch (e) { document.getElementById("XSSTest" ).SetReturnValue("<undefined/>"); }     

 

     看到這裏，應該發現跟上邊說的第二種狀況很相似，黑客能夠經過修改了Object id，惡意閉合雙引號，達到目的。

 

 

 

 

接下來，簡潔的總結一下怎麼防XSS。

 

對於第一和第三種狀況，咱們應該對字符進行過濾，例如用如下的兩個函數：

              

               public static function checkJsFunctionValid(functionName:String):Boolean
              {
                      var reg:RegExp = /^[a-zA-Z0-9_\.]+$/;
                      return reg.test(functionName);
              }          
    
               public static function checkObjectIdValid():Boolean
              {
                      if (ExternalInterface.available)
                     {
                            var objectId:String = ExternalInterface.objectID;
                            if (!objectId || (objectId == objectId.replace(/[^0-9a-zA-Z_]/g , "")))
                                   return true;
                            else
                                   return false;
                     }
                      return true;
              }
 

 

對於第二種狀況，咱們應該儘可能避免這樣跟js傳遞數據，但若是實在沒法避免。能夠用這樣的方式轉義字符串：

 

str.replace( /[\"\\]/g , function(d:String, b:*, c:*){ return '\\' + d.charCodeAt(0).toString(8); });

 

簡單解釋一下，這裏把雙引號和反斜槓這樣比較敏感的字符，替換爲轉義表示。再輸出成js代碼時，正好又還原回去了。

 

例如：

\\\"\\\"})));}catch(e){alert(/xss/);}//     變成了     \134\42\134\42})));}catch(e){alert(/xss/);}//

 

 

 

 

 

附帶額外的在IE8 開發工具中抓獲到的代碼：

 

function __flash__arrayToXML(obj) {
         var s = "<array>" ;
         for (var i=0; i<obj.length; i++) {
                s += "<property id=\"" + i + "\">" + __flash__toXML(obj[i]) + "</property>";
        }
         return s+"</array>" ;
}
function __flash__argumentsToXML(obj,index) {
         var s = "<arguments>" ;
         for (var i=index; i<obj.length; i++) {
                s += __flash__toXML(obj[i]);
        }
         return s+"</arguments>" ;
}
function __flash__objectToXML(obj) {
         var s = "<object>" ;
         for (var prop in obj) {
                s += "<property id=\"" + prop + "\">" + __flash__toXML(obj[prop]) + "</property>" ;
        }
         return s+"</object>" ;
}
function __flash__escapeXML(s) {
         return s.replace(/&/g, "&amp;" ).replace(/</g, "&lt;").replace(/>/g, "&gt;" ).replace(/"/g, "&quot; ").replace(/'/g, "&apos;");
}
function __flash__toXML(value) {
   var type = typeof(value);
         if (type == "string" ) {
                 return "<string>" + __flash__escapeXML(value) + "</string>";
        } else if (type == "undefined") {
        return "<undefined/>" ;
        } else if (type == "number") {
        return "<number>" + value + "</number>";
        } else if (value == null) {
        return "<null/>" ;
        } else if (type == "boolean") {
        return value ? "<true/>" : "<false/>";
        } else if (value instanceof Date) {
        return "<date>" + value.getTime() + "</date>";
   } else if (value instanceof Array) {
       return __flash__arrayToXML(value);
   } else if (type == "object") {
       return __flash__objectToXML(value);
   } else {
            return "<null/>" ; //???
        }
}
function __flash__addCallback(instance, name) {
  instance[name] = function () {
    return eval(instance.CallFunction("<invoke name=\"" +name+"\" returntype=\"javascript\">" + __flash__argumentsToXML(arguments,0) + "</invoke>" ));
  }
}
function __flash__removeCallback(instance, name) {
  instance[name] = null;
}