Leí sobre el flasheo entre sitios en la guía de pruebas de OWASP. Sé que la diferencia entre XSS y XSF. Pero lo que estoy buscando es cómo los atacantes realizan un ataque XSF. ¿Cómo es posible ya que no hay puntos de entrada para un archivo flash?
Leí sobre el flasheo entre sitios en la guía de pruebas de OWASP. Sé que la diferencia entre XSS y XSF. Pero lo que estoy buscando es cómo los atacantes realizan un ataque XSF. ¿Cómo es posible ya que no hay puntos de entrada para un archivo flash?
EDIT:
El parpadeo entre sitios se produce cuando los datos controlados por el usuario no se validan y se utiliza en una de las siguientes funciones o variables:
loadVariables loadMovie getURL loadMovie loadMovieNum FScrollPane.loadScrollContent Sound.loadSound NetStream.play flash.external.ExternalInterface.call htmlText
En otras palabras, esto significa que la aplicación Flash debe hacer referencia a Las URL externas y las ubicaciones de esas URL se establecen a través del usuario parámetros definidos (generalmente Flash Vars).
Para que esta vulnerabilidad pueda ser explotada exitosamente La víctima debe hacer clic en un enlace creado especialmente por el atacante que utilizará la aplicación Flash vulnerable para, por ejemplo, robar las credenciales de los usuarios.
Incluso si los scripts de Flash tienen restricciones debido a la política del mismo origen (para Flash, puede leer sus detalles en here ) Flash es un vector para los ataques XSS.
Para tales vulnerabilidades, no necesita necesariamente entradas para los usuarios como en esta demo o como en esta sitio web que administra una gran base de datos y está completamente integrado en Flash Player.
Puede encontrar varios ejemplos reales de tales ataques XSF en aquí .
< br>
Creo que el tutorial más simple y mejor sobre los ataques XSF es este .
Lea otras preguntas en las etiquetas web-application attacks xss flash