Проведение XSS-атаки через Flash-анимации
Да, возможно и такое. Сейчас я объясню как с помощью обычного flash-мультика произвести XSS-нападение. Для начала Вам нужна программа Macromedia Flash (я взял Macromedia Flash 8.0). Дело в том, что в Macromedia Flash имеется такая вещь как ActionScript - скриптовый язык. Используется ActionScript за тем, чтобы создать какие то определённые действия в мультике (например, при нажатии на кнопку 1 переходить на 60 кадр. и т.д.). Каким же образом может ActionScript пригодится нам? Вот каким - в нём есть функция getURL() которая перенаправляем пользователя на указанный сайт, и за место адреса сайта можно передать код JavaScript. Давайте для практики проведём небольшой эксперимент. Откроем Macromedia Flash. Сверху мы видим полоску кадров:
Нажимаем на 1-ый кадр правой кнопкой мыши и в появившемся меню выбираем Actions(в самом низу). У Вас должно появится окно редактирования похожее на текстовый редактор. Итак, напишите всего одну строчку:
getURL("javascript:alert('Hacked by me!')")
Нажимаем Flash и сморим что получается: Конечно, за место alert('hacked by me') Вы сможете вписать что угодно + в каком угодно обьёме! Атаковать данным способом можно сайты, которые разрешают публиковать Flash-анимации для публичного просмотра (соц. сети, сайты массового общения и т.д.). Причём врятли Вам будет трудно залить туда свой "мультик". Но учтите что администратор может и фильтровать мультики подобного типа.
|
