SWFIntruder اكتشف ثغرات XSS داخل ملفات الفلاش!

كتب بتاريخ: Feb 28th, 2008 | بواسطة: عبدالمهيمن

السلام عليكم ورحمة الله وبركاته

أداة SWFIntruder أول أداة تقوم بتحليل ملفات الفلاش واختبار أمانها وايجاد ثغراتها
حيث ان هذا النوع من الملفات قد يحوي ثغرات من نوع XSS تؤدي الى سرقة الكوكيز.
تم اكتشاف هذا النوع من الثغرات في العام الماضي وقد تم برمجة هذه الأداة باستعمال
الـ ActionScript, HTML بالاضافة الى JavaScript لتقوم بفحص واختبار ملفات SWF
فهذا النوع من الثغرات جديد داخل ملفات الفلاش وأتوقع أن تصادفنا اختراقات جديدة في
الأشهر القادمة ﻷن أغلب المواقع تسمح بالبانرات الدعائية بصيغة SWF ومن الممكن
أن يتم تضمين هذه الملفات ثغرة من نوع XSS قد تشكل خطورة على الموقع ناهيك
عن مواقع رفع الملفات التي تسمح برفع ملفات الفلاش…

الأداة من برمجة OWASP وتم استعمال برامج وأدوات مفتوحة المصدر في برمجتها
وهي تعمل على عدة أنظمة وتم اختبارها على نظام ويندوز ولينوكس وتحتاج لوجود
سيرفر محلي مركب على الجهاز بالاضافة لمشغل فلاش 9 أو أحدث لتشغيل الأداة

صور للأداة أثناء عملها على جهازي

بعد تحميل الأداة يكفي وضع مجلد البرنامج على السيرفر المحلي والدخول اليه
من المتصفح بعد ذلك ضع رابط ملف الفلاش وافحصه باستعمال الأداة XSS Tool

صفحة الأداة | تحميل الأداة | فيديو يشرح الأداة

كل الود.. أخوكم Br4v3-H34r7.

التصنيف: Hacking & Security | عدد المشاهدات 3,517 | عدد التعليقات 16

رابط التعقيبات التعليقات RSS

أرسل الموضوع

التعليقات

1- D3is كتب بتاريخ: 28 Feb 2008 الساعة: 4:36 PM

أداه جميله جداً .. وأنأ بجربها أن شآء الله
يعطيك العآفيه
في امان الله ..
2- firefox كتب بتاريخ: 28 Feb 2008 الساعة: 10:32 PM

There’s a browser safer than Firefox…
…it is Firefox, with NoScript!

http://noscript.net/
3- Br4v3-H34r7 كتب بتاريخ: 29 Feb 2008 الساعة: 1:03 AM

D3is شكرا على المرور وان شاء الله يكون عجبك الموضوع

firefox بالنسبة لـ NoScript هي اضافة لمتصفح الـ Firefox وليست متصفح آخر
وكتبت موضوع عن بعض اضافات الفايرفوكس ممكن تشوفه موجود هنا
4- Mutati0N كتب بتاريخ: 29 Feb 2008 الساعة: 1:43 AM

شــاكر لــك عبدو وجزاك الله خيـرا , ونوعيه البرامج دي انا بحبهـا مع اني قليل ما بستخدمهــا
5- Br4v3-H34r7 كتب بتاريخ: 29 Feb 2008 الساعة: 2:04 PM

Mutati0N هلا فيك أخوي كريم ..
شاكر مرورك وان شاء الله يكون عجبك الموضوع
6- Dr.FoX كتب بتاريخ: 05 Mar 2008 الساعة: 5:21 PM

أداة جميــلة

بجربها قريــب ان شاء الله
7- ServeR00T كتب بتاريخ: 17 Mar 2008 الساعة: 6:56 PM

اداة رائعة جداً

والله مصيبه حتى ملفات الفلاش فيها ثغرات XSS !!!!!!!!!
8- Dr.FarFar كتب بتاريخ: 24 Mar 2008 الساعة: 5:08 PM

Thanks Bro ….
9- HackDz كتب بتاريخ: 17 Apr 2008 الساعة: 12:41 PM

الله الله عليك أخي و الله مبدع انا طول فترتي في المذكرة لم أرد عليك مواضيعك روعة بس هذا اروع ههه و تشكر جزيل الشكر اخوك حفيظ
10- Br4v3-H34r7 كتب بتاريخ: 17 Apr 2008 الساعة: 7:07 PM

شكرا أخوي على كلامك وان شاء الله تكون استفدت من المدونة..
11- ShockShadow كتب بتاريخ: 13 May 2008 الساعة: 11:14 PM

فعلاً كثرت الأفكار والأخطار من XSS ، أداة جميلة

استأذنك بإقتباس الموضوع إلى موقعي
12- Br4v3-H34r7 كتب بتاريخ: 14 May 2008 الساعة: 2:31 AM

يا أخي الثغرات كل مالها في تطور والهاكرز يطورون ويكتشفون ثغرات واستغلالات جديدة من جهة وشركات الحماية تطور برامج وأدوات حماية من جهة أخرى صراع مستمر ولن ينتهي, بالنسبة لنقل الموضوع لامشكلة أخي فغايتي كما قلت في أكثر من رد افادة الآخرين وليس الاحتكار… تحياتي
13- abuoof كتب بتاريخ: 30 May 2008 الساعة: 3:13 AM

جزاك الله خير فنويت تعلم الأختراق ويبدو أنني سأبدأ بتلك الأداه وكن بعد الامتحانات
كنت أريد رأيك مبتديء لينكس أوبنتو ومبتدا برمجة بالجافا هل يصلح لأستخدام الdvlأوالBack|Track2
14- Br4v3-H34r7 كتب بتاريخ: 30 May 2008 الساعة: 6:32 PM

أهلا بك abuoof بما أنك مبتدئ في لينوكس رأيي خليك على أبونتو لمدة ثم انتقل لتوزيعة أقوى Fedora أو openSUSE مثلا بعد ذلك جرب الباك تراك فالتعامل مع هذه التوزيعة ليس صعب ولكن يحتاج معرفة بلينوكس وأوامره واذا الشخص استخدم الباك تراك لايعني أنه صار هاكر! فالباك تراك وغيرها وسيلة وليست غاية وتذكر صعود السلم درجة درجة, بالتوفيق…
15- GH.SK.GH كتب بتاريخ: 01 Jun 2009 الساعة: 1:55 PM

موضوع روع و بارك الله فيك أخي
16- Jamal كتب بتاريخ: 05 Oct 2009 الساعة: 12:28 AM

سلام، شكرا أخ عبد المهيمن، أنا أيضا أول مرة أسمع عن إمكانية زرع XSS في ملفات الفلاش، بالمناسبة أنا أذكر أني مريت على موضوع يتحدث عن دمج كود XSS في صورة png، هل هذا ممكن ؟؟