Vulnerabilidad Cross Site Scripting (XSS) en archivos Macromedia Flash

Cross Site Scripting es una vulnerabilidad muy común en muchos
servidores web, sobre todo en aquellos que usan páginas dinámicas para
generar el contenido. La vulnerabilidad se basa en inyectar código
malicioso en una página web para modificar su apariencia, ejecutar
scripts en los navegadores o, en algunos casos, para robar cookies
almacenadas en los ordenadores de los usuarios.
El 5 de Junio la gente de EyeonSecurity ha publicado un documento
titulado «El ataque Flash!» donde describen un método para inyectar
código JavaScript malicioso en archivos Macromedia Flash.

A pesar de que la vulnerabilidad no hace más peligroso el Cross Site
Scripting, abre nuevas vías desconocidas hasta el momento para realizar
este tipo de ataques. La solución más simple para evitar esta variante
de Cross Site Scripting consiste en no permitir a los usuarios incrustar
objetos Flash en las páginas con contenido dinámico.

Más información:

EyeonSecurity:
http://eyeonsecurity.com/

Bypassing JavaScript Filters – the Flash! Attack:
http://eyeonsecurity.net/papers/flash-xss.pdf

Macromedia® Flash:
http://www.macromedia.com/flash/

The Cross Site Scripting FAQ:
http://www.cgisecurity.com/articles/xss-faq.shtml

Cross Site Scripting Vulnerabilites:
http://www.cert.org/archive/pdf/cross_site_scripting.pdf

Vulnerabilidad: Cross Site Scripting (XSS):
http://www.kamborio.com/?Section=Articles&Mode=select&ID=30

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

• View all posts by Hispasec →
• Blog