XSS уязвимость присутствует во Flash анимации еще с 2002 года, когда компания Макромедия флеш, опубликовал способы защиты от днного вида атак.
Буквально на днях, я решил протестировать данную уязвимость в своем блоге на WordPress, и результаты получил, более чем не обнадеживающие.
Во время тестирования я загрузил swf ролик, предположительного партнера, в свой блог на Вордпресс.
В swf ролик, я предварительно добавил (нейтральный) javascript код, который благополучно выполнился.
Как результат, я получил куки от своей админки.
Все подробности с примерами смотрите в статье, можно даже скачать флеш исходник.)
Буквально на днях, я решил протестировать данную уязвимость в своем блоге на WordPress, и результаты получил, более чем не обнадеживающие.
Во время тестирования я загрузил swf ролик, предположительного партнера, в свой блог на Вордпресс.
В swf ролик, я предварительно добавил (нейтральный) javascript код, который благополучно выполнился.
Как результат, я получил куки от своей админки.
Все подробности с примерами смотрите в статье, можно даже скачать флеш исходник.)