PHPWIND最新的版本使用的一处flash文件存在xss漏洞,pz牛和瘦子牛科普这么多,我就直接上报漏洞吧。


 

1、文件位置

2、通过对swf文件反编译得到as代码,查找“ExternalInterface.call”关键函数,在代码中多出使用了这个函数,比如:

ExternalInterface.call((this.jsobject + ".initflash"));

3、追溯this.jsobject变量,有如下代码:

this.jsobject = this.loaderInfo.parameters["jsobject"];

直接通过loaderInfo.parameters中取,没有进行任何过滤或者检查。

4、直接构造poc

?jsobject=alert(1))}catch(e){}//

 

phpwind下flash xss 0day


修复方案:

根据实际情况来过滤掉特殊字符,或者只允许参数中包含字母数字等