Большое количество Flash приложений (баннеров, игр) подвержено XSS уязвимостям. Откуда растут ноги для XSS в флеш я уже писал, но кроме метода getURL(), существует еще 12 методов которые используют флеш программисты, причем очень часто не совсем корректно.
На днях я протестировал несколько популярных веб сайтов, и в 50% случаев рекламные флеш баннеры позволили провести XSS атаку.
Какие инструменты нужны для декомпилирования Flash баннеров и поиска уязвимостей, а также описание первого уязвимого метода getURL() смотрите в статье.
На днях я протестировал несколько популярных веб сайтов, и в 50% случаев рекламные флеш баннеры позволили провести XSS атаку.
Какие инструменты нужны для декомпилирования Flash баннеров и поиска уязвимостей, а также описание первого уязвимого метода getURL() смотрите в статье.
