一种自动化检测Flash中XSS方式的探讨
发布时间:2022-05-09 09:57:40 所属栏目:安全 来源:互联网
导读:Firefox 访问 http://test.com/xss.swf?alert=1,Flash 执行 JS 报错,显示错误详细信息。Firefox 能够显示 Flash 执行 JS 错误时的详细错误信息。 到这里也就明白检测的原理了,就是: ◆程序调用 Firefox ◆Firefox 加载 Flash 插件 ◆Firefox 访问对参数
|
Firefox 访问 http://test.com/xss.swf?alert=1",Flash 执行 JS 报错,显示错误详细信息。Firefox 能够显示 Flash 执行 JS 错误时的详细错误信息。 到这里也就明白检测的原理了,就是: ◆程序调用 Firefox ◆Firefox 加载 Flash 插件 ◆Firefox 访问对参数经过构造的 Flash 链接,比如 http://test.com/xss.swf?alert=1" ◆程序捕捉错误信息或者 alert 事件 ◆根据错误信息或者 alert 事件信息来判断该 Flash 是否存在 XSS 漏洞 具体如何实现呢?我们不会真的调用 Firefox,而是直接采用一套开源的可以解析 JS 的工具包:CasperJS。下面看下 CasperJS 官网的一段介绍: CasperJS is an open source navigation scripting & testing utility written in Javascript for the PhantomJS WebKit headless browser and SlimerJS (Gecko). CasperJS 目前支持两种引擎:PhantomJS(WebKit内核)和 SlimerJS(Gecko内核)。Gecko内核就是 Firefox 所使用的内核,又通过 CasperJS 文档了解到,使用 SlimerJS 引擎时候可以通过 loadPlugins 来加载 Flash 插件。  (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐