Flash, XSS ve allowscriptaccess

6-1-2008

Cuma günü özel bir konferansta sunum yaptım ek olarak diğer konulardan zevk alma şansı buldum. Konular Ring0 driver exploitation, Wireless Hacking, Auditing network devices, Java RMI gibi konuları içeriyordu. Ben de XSS açılarını bulma ve exploit etme konusunda bir sunum yaptım.

Sunum yeni bir şey içermemesine rağmen sadece sunum için Flash ve XSS konusuna değinmek istedim. İnternete girdim, bir arama ve bir sonuç ile bulduğum ilk Flash uygulamasında XSS vardı.

Özetle modern Flash uygulamalarında XSS inanılmaz derecede yaygın. Şu doküman benim bulduğum XSS' lerin genel componentlarda bulunmuşu. Dolayısıyla o dokümana bakarak neden bahsettiğimi anlayabilirsiniz.

Temel sorun dışarıdan yüklenen resource' ların filtrelenmemesi (şok! girdi filtreleme).

Son olarak eğer web sunucunuz swf dosyalarını normal flash dosyası olarak sunuyorsa allowscriptaccess işe yaramayacaktır! Çünkü dosyalara direk ulaşabiliyorsunuz, dolayısıyla HTML' deki allowscriptaccess hiç bir şeyi etkilemeyecektir.

Bir sorun olmazsa sunumu yakında yayınlayacağım. Pek vaktim yok, çok üstün körü bir yazı oldu ama umarım ana konuyu anlatabilmişimdir.

Recent Blog Posts

See all of the blog posts