XSS уразливості в 34 мільйонах флеш файлах
22:44 09.01.2010В грудні в своїй статті XSS уразливості в 8 мільйонах флеш файлах я писав, що в Інтернеті є до 34000000 флешек tagcloud.swf потенційно вразливих до XSS атак. Враховучи, що мало хто звернув увагу в попередній статті на мою згадку про ще 34 мільйони вразливих флешек, то я вирішив написати про це окрему статтю.
Файл tagcloud.swf розроблений автором плагіна WP-Cumulus для WordPress і постачається з даним плагіном для WordPress, а також з іншими плагінами, зокрема Joomulus і JVClouds3D для Joomla та Blogumus для Blogger. Враховуючи поширеність даного флеш файла, зазначу, що це найбільш поширена флешка в Інтернеті з XSS уразливістю.
Поширенність проблеми.
Взразливих файлів tagcloud.swf в Інтернеті дуже багато (за даними Google):
filetype:swf inurl:tagcloud.swf
Якщо 18.12.2009 результатів було приблизно 34000000, то зараз результатів приблизно 32500000. І це лише флеш файли проіндексовані Гуглом, а реально їх може бути набагато більше.
Тобто є приблизно 32,5 мільйони сайтів з файлом tagcloud.swf вразливих до XSS та HTML Injection атак.
З них приблизно 273000 gov-сайтів вразливих до XSS та HTML Injection атак.
Уразливості в swf-файлі.
Файл tagcloud.swf вразливий до XSS та HTML Injection атак через параметр tagcloud.
XSS:
http://site/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E
Код виконається при кліку. Це Strictly social XSS.
HTML Injection:
http://site/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='http://websecurity.com.ua'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E
HTML Injection атаку можна провести зокрема на ті флешки, де заборонені (у флешках чи через WAF) javascript та vbscript URI в параметрі tagcloud.
Приклади уразливих сайтів.
Приклади уразливих сайтів з даним swf-файлом я наводив в записі XSS уразливості в tagcloud.swf на gov та gov.ua.
Так що флеш девелоперам варто слідкувати за безпекою своїх флешек. А власникам сайтів з уразливими флешками (зокрема tagcloud.swf) потрібно або самим їх виправити, або звернутися за цим до їх розробників.
Неділя, 23:48 10.01.2010
You can read this article on English in The Web Security Mailing List: XSS vulnerabilities in 34 millions flash files.
П'ятниця, 08:58 02.09.2011
Вибрав сім випадкових сайтів з першої двадцятки видачі: filetype:swf inurl:tagcloud.swf. Дана уразливість була на усіх сімох сайтах.
Враховуючи кількість сайтів з цією флешкою в інтернеті - оце так простір для комп’ютерних хуліганів!
П'ятниця, 21:58 02.09.2011
Так, таких сайтів багато. І власники сайтів (як і розробники різних плагінів і віджетів), що використовують цю флешку, переважно ігнорують цю уразливість. Навіть розробник WP-Cumulus і то виправив у своїй флешці тільки XSS, а HTML Injection все ще можлива (на всіх цих флешках, навіть у “виправлених”). Що може використовуватися для включення лінків для редирекції на шкідливі та фішинг сайти.