一種自動化檢測Flash中XSS方法的探討
0x00 前面的話
對于如何檢測Flash 中的XSS,每個人都有自己的方法,無論是使用成型的自動化工具(比如 swfscan)還是自己開發自動化工具(先反編譯,再對 actionscript 代碼審計)還是直接人工對代碼進行審計。都能夠檢測到 Flash 中存在的 XSS 漏洞。但是這些方法會存在一些問題,如:
自動化工具屬于靜態分析,誤報比較高,需要投入大量人工精力去加以分析
完全人工效果最好,但是也更加耗費精力
在這里我們來探討一種動態檢測 Flash 中 XSS 的方法,該方法有自己的優點,但是也有比較明顯的缺點,所以本文的標題定位于“探討”。
0x01 原理
所謂動態檢測,就是通過程序加載 Flash 插件,然后再載入 Flash 文件,對事件和錯誤信息進行捕捉,再對信息分析來判斷 Flash 中是否存在 XSS 漏洞。
先來看下面兩張圖,以 Firefox 瀏覽器為例:
Firefox 訪問 http://test.com/xss.swf?alert=1,Flash 成功執行 JS 代碼,彈出對話框。
Firefox 訪問 http://test.com/xss.swf?alert=1\",Flash 執行 JS 報錯,顯示錯誤詳細信息。Firefox 能夠顯示 Flash 執行 JS 錯誤時的詳細錯誤信息。
到這里也就明白檢測的原理了,就是:
◆程序調用 Firefox
◆Firefox 加載 Flash 插件
◆Firefox 訪問對參數經過構造的 Flash 鏈接,比如 http://test.com/xss.swf?alert=1\"
◆程序捕捉錯誤信息或者 alert 事件
◆根據錯誤信息或者 alert 事件信息來判斷該 Flash 是否存在 XSS 漏洞
0x02 具體實現
具體如何實現呢?我們不會真的調用 Firefox,而是直接采用一套開源的可以解析 JS 的工具包:CasperJS。下面看下 CasperJS 官網的一段介紹:
CasperJS is an open source navigation scripting & testing utility written in Javascript for the PhantomJS WebKit headless browser and SlimerJS (Gecko).
CasperJS 目前支持兩種引擎:PhantomJS(WebKit內核)和 SlimerJS(Gecko內核)。Gecko內核就是 Firefox 所使用的內核,又通過 CasperJS 文檔了解到,使用 SlimerJS 引擎時候可以通過 loadPlugins 來加載 Flash 插件。
所以我們就可以通過 CasperJS 來完成我們的功能需求,下面是代碼實現:
flash_detect.js
- var casper = require('casper').create({
- pageSettings: {
- loadImages: true,
- loadPlugins: true // load flash plugin
- },
- logLevel: "info",
- verbose: false
- });
- casper.start('about:blank', function() {});
- // catch alert
- casper.on('remote.alert', function(message) {
- this.echo('{"type": "alert", "msg":"' + message + '"}');
- });
- // catch page error info
- casper.on('page.error', function(message, trace) {
- this.echo('{"type": "error", "msg":"' + message + '"}');
- });
- var url = casper.cli.get(0);
- casper.thenOpen(url, function() {
- this.wait(2000, function(){}) // delay 2's
- });
- casper.run();
代碼很簡單,就是通過 CasperJS 來訪問 Flash 文件,然后捕捉頁面中的錯誤信息和 alert 事件。在這里有一點需要注意就是有的 Flash 不會立即執行 JS 代碼,所以我們在打開一個 Flash 文件后,在當前的頁面停留 2 秒。
0x03 執行效果
我們剛才那個 Flash 文件用這個檢測代碼檢測下看看效果 ,如下:
- piaca at piaca in ~/source$ casperjs --engine=slimerjs flash_detect.js "http://test.com/xss.swf?alert=1"
- {"type": "alert", "msg":"1"}
- piaca at piaca in ~/source$ casperjs --engine=slimerjs flash_detect.js "http://test.com/xss.swf?alert=1\\\""
- {"type": "error", "msg":"SyntaxError: missing ) after argument list"}
0x04 寫在后面的話
實際中我通過訪問網上的一些業務,把其中的 Flash 抓下來,然后通過程序去檢測,效果還是不錯的。當然這其中包括我們自己業務中的 Flash XSS 漏洞。
但是目前的檢測程序只能是一個 Demo,要想在生產環境中使用,還需要解決以下問題:
效率:目前是單進程單線程進行檢測,會影響檢測效率,同時由于 SlimerJS 會打開一個 GUI 窗口,在一定程度上也會影響效率;
誤報:在 Demo 中我們沒有過多的處理錯誤信息,所以在實際測試中會有比較多的誤報;
參數:這里的參數只是 Flash 文件接收的參數,我們通過日志分析等可以快速獲取業務中的 Flash 文件,但是如何獲取 Flash 接收的所有參數名呢?
上面幾個問題并不是致命的問題,我們可以通過多種方法去解決,但是正如前面所說的這個檢測程序有個致命的缺點,那就是:
這個檢測腳本只能檢測很明顯的 XSS 漏洞,如果 Flash 中對參數有一定的處理措可能就無法進行檢測了;
所以本文僅僅做自動化檢測 Flash 中 XSS 漏洞的探討。
