Атаки через Flash
22:49 27.09.2013Через Flash можна проводити різноманітні атаки, зокрема Cross-Site Scripting та Content Spoofing атаки. В 2010 році в статті Content Spoofing атаки: Link Injection та Text Injection та в 2012 році в статті Content Spoofing атаки: Content Injection та Site Injection я розповідав про різні CS атаки, що я досліджував останні 5 років, частина з яких стосувалася флеша.
Зараз наведу перелік можливих атак на користувачів та відвідувачів сайтів через флеш плагін, що я розробив ще у грудні 2009 року.
- Remote Flash Inclusion - як на www.banner.kiev.ua.
- Remote Flash Injection - як на search.ua.
- Cross-Site Scripting - XSS уразливості в різних флешках, через Flash Inclusion або Flash Injection та через завантаження swf-файлів (в FCKeditor, CKEditor та інших аплоадерах).
- Link Injection - в банерах та різних флешках, зокрема tagcloud.swf (WP-Cumulus).
- Text Injection - в банерах, капчах та різних флешках, зокрема tagcloud.swf (WP-Cumulus).
- Remote Audio Inclusion - зокрема в аудіо плеєри.
- Remote Video Inclusion - зокрема в відео плеєри.
- Remote Image Inclusion - зокрема в відео плеєри.
- Remote XML Inclusion - зокрема в аудіо та відео плеєри.
- Denial of Service - через DoS уразливості у флеш-плагіні.
- Remote Code Execution - через уразливості у флеш-плагіні.
- User tracking - через флеш кукіси (класи SharedObject та Cookie).
- Redirection - через Flash Inclusion або Flash Injection та через розміщення флешек з редиректорами, про що я розповідав в статті Редиректори через Flash.
- Malware spreading та phishing - через XSS або редиректори.
Атаку для включення аудіо, відео та зображень я назвав одним терміном Content Injection. А Remote XML Inclusion може використовуватися як для Content Injection, так і для Site Injection. Про що я написав у вищезгаданій статті.
Так що Flash-плагін у браузері, що наявний в 99% користувачів Інтернет (серед настільних комп’ютерів, серед мобільних пристроїв інша статистика), може бути використаний для багатьох атак.
Понеділок, 23:50 30.09.2013
You can read this article on English in The Web Security Mailing List: Attacks via Flash.