Pull to refresh

Меньше знаешь — крепче спишь, или хватит выдергивать информацию из контекста

Reading time 3 min
Views 4.2K
Наверняка не меня одного удивляют заголовки типа "Фундаментальный баг Adobe Flash не будут исправлять". Несет как-то желтизной за километр, и видно, что автор совершенно не имеет никакого представления о чем именно он пишет. Главное, что тут есть «Adobe Flash» и негативный подтекст, на комбинацию которых, как у собак Павлова, у особо активной части Хабрасообщества начинает выделяться слюна.

И ведь я уверен, что бОльшая часть товарищей комментаторов не знает, что
  1. Это не баг
  2. Это не уязвимость именно флэша
  3. Это чрезвычайно бородатая уязвимость-то на самом деле

Но нет, все равно… АААА НОВЫЙ БАГ ФЛЭШ НЕ ИСПРАВЯТ КАК ТАК ПАНИКААААА!!!11

Я с умилением смотрю на таких людей, как вы, господа. Ибо знания ваши ничтожны, и находитесь вы в счастливом неведении. Человек в своей жизни в какой-то момент понимает смысл поговорки «Меньше знаешь — крепче спишь». Этот «фундаментальный баг флэша» — это даже не вершина айсберга, о подводной части которого вы можете и не знать, но покричать при этом хочется.

Если полдня потратить и порыть интернет/специальную литературу, вы поймете, что опасность-то на самом деле на каждом шагу, большинство просто об этом не знает, принимая железо и софт за каменную стену без дыр и трещин. Эта уязвимость является всего лишь частью огромного семейства уязвимостей Cross-site scripting, которых закрыто уже миллион и еще столько же осталось, просто никто особо не распространяется по этому поводу. XSS подвержено практически все, что выполняется на клиенте. В первую очередь — JavaScript, через который в дыры пролазят другие клиентские технологии: флэш, ява, сервелат.

Знаете ли вы о 101м способе обмануть проверку загруженых файлов на сервере? Например, что можно объединить GIF + JAR (он же zip), PDF + JAR и этот файл будет валидным pdfом и валидным jarом в одно и то же время? Знаете ли вы, что в ваших браузерах до сих пор гуляют сквозняки через огромные дыры в безопасности? Не говоря уже о куче сайтов, которые сделаны новичками и тоже дырявы со всех сторон, а вы доверяете им свою персональную информацию и номера кредиток. Знаете ли вы, что есть полно способов обмануть даже Google и вытащить ваши пароли даже из корпорации зладобра? Знаете ли вы, что сохраненные пароли в фаерфоксе элементарно вытаскиваются?

Знаете ли вы, что это все еще даже не начало того огромного списка уязвимостей, с которыми мы с вами живем? Почему же вы тогда все еще живы? Да потому что вы не нужны никому. Пока не нужны.

А все почему? Думаю, можно отрыть корень всех проблем где-то у истоков сети как таковой, ибо основные протоколы, которые появились в боюсь соврать каком бородатом году, совершенно не защищены. А зачем? Да кто бы сказал, что будет онлайн банкинг делать, его бы там засмеяли сразу же. А потом как понадобилось, стали заплатки лепить и придумывать всякие policy.

P.S. Что касается флэшовой части уязвимости, то я проделывал такое же воровство куков в бородатом 2000каком-то году на форуме, где можно было закачивать флэш. Ничего нового тут нет.

P.P.S. Попросили объяснить как же работает уязвимость. Если коротко, то XSS уязвимости основываются на выполнении чужого вредоносного клиентского кода в защищенной зоне атакуемого домена. Система безопасности считает, что раз что-то выполняется с домена example.com, то оно ему родное и может спокойно иметь доступ ко всей инфе с этого домена. Остается только подсунуть каким-то образом вредоносный код. Читайте про XSS в интернете.

Что мы имеем в статье и как это относится к флэшу. Относится так же, как и ко всему другому, просто за уши притянуто именно для флэша. Итак, я заливаю SWF на сайт, который позволяет это сделать. Если не позволяет, то прикинувшись чем-то другим заливаю тот же SWF (как именно прикинуться писать не буду, ибо боюсь сильно соврать и нужно поэкспериментировать). Соответственно, если этот SWF идет на домен example.com в папочку uploads, то он считается родным этому домену, т.к. кто-то когда-то предположил, что если контент находится в публичном доступе с домена example.com, значит только админ сайта мог его туда положить (хаха). Получаем, что мой вредоносный SWF имеет доступ через яваскрипт ко всему окружению. Если он еще и показывается где-то на example.com без allowscriptaccess=never и allownetworking=never, то сразу gg. Но автор вышеупомянутой статьи показывает, что SWF находится на example.com и какбы является ему родным, но вызывается по левому URLу. То есть тебе Вася присылает ссылку типа зайди сюда, ты тыкаешь и видишь этот SWF, который имеет доступ к твоим кукам на example.com. Мысль ясна? Заменяем example.com на что душе угодно и паникуем. А ведь всего-то надо грузить барахло в домен barahlo.example.com и уже такое не пройдет.
Tags:
Hubs:
+115
Comments 100
Comments Comments 100

Articles