Міжсайтовий скриптінг в Shockwave Flash
17:50 20.08.200625.07.2006
Міжсайтовий скриптінг в Shockwave Flash (code execution).
Можливий міжсайтовий доступ до даних і кукісів користувача.
- Critical Shockwave Embeded XSS Execution (деталі).
Серйозна вразливість у флеші. В неї широки можливості для застосування (враховуючи поширеність і популярність флеша). Потрібно буде детально дослідити цю уразливість
По матеріалам http://www.security.nnov.ru.
26.07.2006
Додаткова інформація на дану тему:
- Write-up by Amit Klein: Forging HTTP request headers with Flash (деталі).
27.07.2006
Додаткова інформація на дану тему:
- Подделка заголовков HTTP запроса с помощью Flash ActionScript (деталі) - переклад на російску мову опису данної уразливості від Amit Klein (лінка на оригінал приводиться вище).
12.08.2006
Додаткова інформація на дану тему:
- Sending multipart/form-data requests from Flash (with arbitrary headers) (деталі).
20.08.2006
Додаткова інформація на дану тему:
- Technical note: under some conditions, it’s possible to steal HTTP credentials using Flash (деталі)
- Technical note by Amit Klein: Sending arbitrary HTTP requests with Flash 7/8 (+IE 6.0) (деталі)