The Turkey Curse
fukamis terror chatroom

Testing Flash Applications

Setting Orange, 67th Discord, 3173.

Nachdem ich nach den Datenspuren in Dresden nicht so richtige die Nerven hatte auf dem Webmontag in Köln meinen Vortrag über Flash Cross Domain XHR zu halten und einige eher spassige Exploits für Twitter und anderen “Web2.0″-Foobar zu zeigen, ist mir der Link auf die Präsentation Testing Flash Applications (als [PDF][pdf] oder [SWF][swf]) auf der [OWASP AppSec Conference][owasp] in Italien von [Stefano Di Paola][wisec] in die Finger gefallen.

Neben einer Übersicht über Flash-Internals und das Action Script-Security-Model zeigt er eine Reihe guter Ansätze, wie man schlecht programmierte Flashanwendungen zu allerlei lustigen Sachen missbrauchen kann. Einige Sachen wie das asfunction Pseudo-Protokoll sowie der Eigenart des Flash-Plugins, die gesamte Query zu parsen (also inklusive dem Fragment nach dem #-Zeichen), waren mir neu. Stefano nennt den Vector, den er in seiner Präsentation beschreibt, XSF (für Cross Site Flashing). Bei der Gelegenheit bin ich auch gleich noch mal über Martins und Kanatokos Finding zum nichtexistenten DNS-Pinning von Flash gestolpert, das mir so nicht klar war (siehe [Anti DNS-pinning revisited][anti dns pinning] bzw. [Kanatokos Posting bei sla.ckers.org][slackers] sowie die [Anti-DNS Pinning/Socket in Flash][demo]).

Flash wurde bislang noch nicht so unter die Lupe wie sich das gehört. Langsam ändert sich dieser Zustand aber glücklicherweise — es gibt mittlerweile Tools, mit denen man einiges anfangen kann, wie den Compiler [mtasc][mtasc], den Decompiler [Flare][flare] oder den Disassembler [Flasm][flasm]. Und die entsprechenden Exploits, die dabei rauskommen, haben es in sich wie ich finde.

[pdf]: http://www.wisec.it/docs.php?id=5
[swf]: http://www.wisec.it/docs.php?id=6
[owasp]: http://www.owasp.org/index.php/6th_OWASP_AppSec_Conference_-_Italy_2007
[wisec]: http://www.wisec.it/
[anti dns pinning]: http://shampoo.antville.org/stories/1548035/
[slackers]: http://sla.ckers.org/forum/read.php?6,4511#msg-6253
[demo]: http://www.jumperz.net/index.php?i=2&a=1&b=8
[flare]: http://www.nowrap.de/flare.html
[mtasc]: http://www.mtasc.org/>
[flasm]: http://flasm.sourceforge.net/

---

No Comments »

No comments yet.

RSS feed for comments on this post.

Leave a comment



"I love deadlines. I like the whooshing sound they make as they fly by." - Douglas Adams

The Turkey Curse is powered by WordPress, template idea by Priss

Entries (RSS) and Comments (RSS).
Generated in 0.041 seconds.