XSS----JWPlayer 5最新SWF XSS 0day分析及POC改进

微笑面对

现在不懂XSS ，，，，还能叫黑客吗？不能说自己是网安？

特别Thx 小雄同学的idea:)

老外在16号公布了jwplayer一个未修复的XSS 0day，详情猛戳这里。jwplayer是全球范围内目前应用最广泛的flash播放组件，特别是国外众多在线爱情动作片网站。此前jwplayer曾爆出过一个XSS漏洞，影响非常广泛。

根据老外的描述，这次的问题主要是因为之前一个XSS漏洞没有修复完全，导致bypass再利用。原始的问题是playerReady参数值未做过滤直接进入ExternalInterface.call导致可以执行任意JS代码。在经过官方的两次小版本补丁后，这个问题最终的修复方案是禁止playerReady参数值中存在{}和()符号。而这种简单的修复是可以被绕过的。

原文给出的POC：