Ho trovato questo - qualcuno può fornirmi esempi di come vengono sfruttati questi problemi?
Ho trovato questo - qualcuno può fornirmi esempi di come vengono sfruttati questi problemi?
Flash è incarcerato dalla politica dell'origine e può agire solo su sito che carica l'applet flash con accesso agli script abilitato.
Tuttavia, il flash può diventare un vettore per XSS. La demo sopra elenca vari vettori XSS . Quindi, ad esempio, nella condizione estremamente improbabile in cui si sta caricando un'applet flash in cui l'utente malintenzionato può controllare la variabile loadMovieNumVar
, un utente malintenzionato può eseguire JavaScript nel contesto del sito impostando questa variabile su javascript:alert('gotcha!')
.
XSS è estremamente comune e ci sono molti modi in cui questo attacco può manifestarsi. L'XSS basato su Flash è unidirezionale, ed è anche estremamente raro.