Уязвимость, которую я опишу в этой теме, является самой простой в обнаружении из всех багов клиентской части. Реализация атаки также никаких сложностей не вызовет. При всей этой простоте, уязвимость очень распространенная и достаточно опасная, так как админы сайтов не обращают на нее внимания, а у абсолютного большинства пользователей установлены
flash-плагины в браузерах.
Перейдем к делу.
У
flash-приложений есть возможность выполнения запросов к сайту (с куками пользователя) и чтения ответов сервера. На уязвимом сайте можно выполнить
любые действия от имени авторизованного пользователя.
Вызов приложения со страницы сайта осуществляется с помощью
html-тегов
object или
embed.
В отличие от подключаемых скриптов (
script src),
flash-приложение выполняется на том домене, где расположен файл, а не на сайте, с которого оно вызывается.
Расширение и
Content-Type файла приложения не имеют никакого значения.
При "Content-disposition: attachment" приложение не выполняется в ИЕ, ФФ и Хроме. В опере все работает с любыми заголовками ответа.
То есть, уязвим любой сайт, позволяющий загрузить файл без искажений на свой домен.
Античат в качестве примера уязвимого сайта:
[
тема в РОА уже удалена. надеюсь, все успели ее увидеть]
Политика кроссдоменной безопасности не позволяет просто так выполнять запрос к домену, отличающемуся от домена приложения.
Чтобы выполнить кроссдоменный запрос к сайту, необходимо наличие файла
crossdomain.xml в корне. Полностью описывать формата файла и все тонкости настройки политик не буду. Сейчас нам нужны только строки вида:
Несложно догадаться, что это список доменов, с которых разрешены обращения к сайту.
Если нельзя залить свой файл на сам сайт, можно попробовать залить его на один из доверенных доменов.
Для примера возьму
RuTube.
http://rutube.ru/crossdomain.xml
Рассмотрим 3 домена, с которых разрешены запросы:
1) Освобождающийся домен. Регаем и заливаем свое приложение.
Сообщение от
None
Домен iaamoscow2010.ru будет удален из реестра в связи с окончанием срока регистрации. Продление срока регистрации домена администратором домена невозможно.
Воспользуйтесь услугой RU-CENTER «Регистрация освобождающегося домена».
144$ (вероятная стоимость освобождающегося домена на вторичном рынке).*
. Заливаем приложение в аттач.
3) Файлообменник на поддомене (files.mail.ru). После загрузки прямая ссылка на файл периодически обновляется, но это решается несколькими строками
php-кода.
И последний случай. Когда
flash-запросы разрешены с любого сайта
Тут без комментариев. Просто список сайтов.
1) Топ-150 по версии liveinternet.ru
gismeteo.ru
liveinternet.ru
kinopoisk.ru
kp.ru
directadvert.ru
ria.ru
rian.ru
smotri.com
loveplanet.ru
vesti.ru
fishki.net
radikal.ru
infox.ru
chatovod.ru
woman.ru
dom2.ru
sports.ru
rg.ru
infox.ru
zoomby.ru
kommersant.ru
soccer.ru
baby.ru
aif.ru
lifenews.ru
tvigle.ru
galya.ru
ixbt.com
moskva.fm
mk.ru
u-mama.ru
a1tv.ru
ati.su
2) Топ alexa.com
xvideos.com
babylon.com
zedo.com
about.com
youporn.com
icq.com
dictionary.com
3) Еще несколько сайтов, которые все знают
habrahabr.ru
kaspersky.ru
eset.ru
nod32.ru
mamba.ru
plirt.ru
connect.ua
mediatarget.ru
Продолжение следует...
Древовидный вид