XSF挖掘思路

XSF即Cross Site Flash。

很多网站的Flash播放器都会有XSF风险，因为这些播放器需要能够灵活加载第三方Flash资源进行播放。不过这样的XSF风险其实非常小，因为浏览器直接访问Flash文件时，安全沙箱的限制是很严格的。所以，下面分析的nxtv flash player只需了解思路即可，这样的XSF漏洞在这样的场景下毫无价值，有价值的是思路。

漏洞文件：http://video.nxtv.cn/flashapp/player.swf

分析方法分为静态分析和动态分析。

我们可以使用SWFScan图形化界面或者用swfdump命令行工具进行反编译得到ActionScript代码，这两个工具都很不错，下面以SWFScan为例进行说明。

钟晨鸣，徐少培编著

电子工业出版社出版