torsdag 16 februari 2012

Adobe Flash och Cross Site Scripting (XSS)

Dags för ännu en uppdatering av Flash då. Det hör numera till vardagen att Adobe's prylar och Java behöver uppdateras ganska tätt, ofta på förekommen anledning när man har hittat att någon utnyttjar sårbarheterna in the wild. En intressant sak den här gången som skiljer från alla tidigare är dock att det som utnyttjas in the wild är en Cross Site Scripting (XSS)-sårbarhet. (bra video som förklarar XSS)


Cross Site Scripting sårbarheter är väldigt vanligt förekommande (enligt White Hat's scanning statistik från 2011 så har 64% av apparna de testar minst en XSS-sårbarhet), men sårbarheten tas i min erfarenhet ofta inte särskilt allvarligt, eftersom det man angriper är klienten och inte servern. Ifall enstaka användares konto blir komprometterat är något man räknar med - en viss andel av användarna loggar säkerligen in på sajten från komprometterade datorer, eller har enkla lösenord som har läckt från andra intrång. Behöver inte skada din business så allvarligt.

Men faktum är att vi då och då ser intrång där XSS använts som en del av angreppet som sedermera har lett till root-åtkomst.

XSS är också en bra attackvektor om man vill plocka ut specifik information som en specifik individ har tillgång till. Och det är just så som den här Flash sårbarheten används nu. Och i och med att den ligger i Flash, så innebär det att den gäller universellt för alla sajter.

Hade jag använt mig av en sådan sårbarhet hade jag dels förmodligen haft specifik data jag vill ha ut från specifika personer, men när jag ändå upptäckt möjligheten och haft gott om tid att förbereda mig (det är en 0-day attack), så hade jag sett till att min attack som minst gav mig möjligheten att kolla igenom användarens historik samt surfa runt som användaren. Woo!