¿Cómo se realiza el flasheo cruzado de sitios?

3

Leí sobre el flasheo entre sitios en la guía de pruebas de OWASP. Sé que la diferencia entre XSS y XSF. Pero lo que estoy buscando es cómo los atacantes realizan un ataque XSF. ¿Cómo es posible ya que no hay puntos de entrada para un archivo flash?

    
pregunta Anandu M Das 07.10.2014 - 07:41
fuente

1 respuesta

2

EDIT:

  

El parpadeo entre sitios se produce cuando los datos controlados por el usuario no se validan   y se utiliza en una de las siguientes funciones o variables:

loadVariables
loadMovie
getURL
loadMovie
loadMovieNum
FScrollPane.loadScrollContent
Sound.loadSound
NetStream.play
flash.external.ExternalInterface.call
htmlText
     

En otras palabras, esto significa que la aplicación Flash debe hacer referencia a   Las URL externas y las ubicaciones de esas URL se establecen a través del usuario   parámetros definidos (generalmente Flash Vars).

     

Para que esta vulnerabilidad pueda ser explotada exitosamente   La víctima debe hacer clic en un enlace creado especialmente por el   atacante que utilizará la aplicación Flash vulnerable para,   por ejemplo, robar las credenciales de los usuarios.

Incluso si los scripts de Flash tienen restricciones debido a la política del mismo origen (para Flash, puede leer sus detalles en here ) Flash es un vector para los ataques XSS.

Para tales vulnerabilidades, no necesita necesariamente entradas para los usuarios como en esta demo o como en esta sitio web que administra una gran base de datos y está completamente integrado en Flash Player.

Puede encontrar varios ejemplos reales de tales ataques XSF en aquí .
< br> Creo que el tutorial más simple y mejor sobre los ataques XSF es este .

    
respondido por el user45139 07.10.2014 - 11:34
fuente

Lea otras preguntas en las etiquetas