关于flash安全性的关键tips
来源:互联网 发布:div如何调用js函数 编辑:程序博客网 时间:2024/04/30 14:32
一,crossdomain.xml配置不当导致csrf等漏洞
我们知道,网站根目录下的控制flash访问的授权文件crossdomain.xml指明了远程flash是否允许加载当前网站的资源(如图片,网页内容,flash,cgi等),若配置不当,可能导致未授权的flash可以加载该站点的相关资源,从而可能导致CSRF攻击。
检查的方法很简单,直接访问http://your.web,site/crossdomain.xml,查看里面的配置信息,一般如下:
<?xml version="1.0"?>
<cross-domain-policy>
<allowe-access-from domain="*" />
</cross-domain-policy>
解决办法如下:
1,对不允许外部加载资源的网站,可以把该文件直接删除,即不授权;
2,对允许指定域名访问的,更改allow-access-from的domain属性为域名白名单,这里需要按照最小化的方式进行设置,举例如下,
a,若只允许abc.cb.tt.com访问,则设置为:domain="abc.cb.tt.com"
b,若只允许*.cb.tt.com下各个子域名访问,则设置为:domain="*.cb.tt.com"
c,若只允许*.tt.com下各个子域名访问,则设置为:domain="*.tt.com"
二,flash标签配置不当可能导致不信任flash的XSS漏洞
网页在引入flash的时候,会通过object/embed标签进行加载,在设置标签的时候,如果一些属性配置不当,会带来安全问问题,如flash XSS。这里几个非常关键的参数,说明如下:
1,allowScriptAccess:是否允许flash访问浏览器脚本,如果不对不信任的flash限制,默认会允许调用浏览器脚本,产生XSS漏洞。allowScriptAccess有以下属性:
always:总是允许HTML通信也就是Javascript执行;
sameDomain:允许来自本域的flash与HTML通信;
never:不允许flash与页面通信。
2,allowNetworking:是否允许flash访问ActionScript中的网络API,如果不对不信任的flash限制,会带来flash弹窗、CSRF等问题。
all:允许所有功能,会带来flash弹窗危害;
internal;可以向外发送请求/加载网页;
none:无法进行任何网络相关动作(业务正常功能可能无法使用)
配置建议:
对于不信任flash源,我们可以采取以下措施:
allowScriptAccess设置为never
allowNetworking设置为none(业务需要可以放宽为internal)
我们知道,网站根目录下的控制flash访问的授权文件crossdomain.xml指明了远程flash是否允许加载当前网站的资源(如图片,网页内容,flash,cgi等),若配置不当,可能导致未授权的flash可以加载该站点的相关资源,从而可能导致CSRF攻击。
检查的方法很简单,直接访问http://your.web,site/crossdomain.xml,查看里面的配置信息,一般如下:
<?xml version="1.0"?>
<cross-domain-policy>
<allowe-access-from domain="*" />
</cross-domain-policy>
解决办法如下:
1,对不允许外部加载资源的网站,可以把该文件直接删除,即不授权;
2,对允许指定域名访问的,更改allow-access-from的domain属性为域名白名单,这里需要按照最小化的方式进行设置,举例如下,
a,若只允许abc.cb.tt.com访问,则设置为:domain="abc.cb.tt.com"
b,若只允许*.cb.tt.com下各个子域名访问,则设置为:domain="*.cb.tt.com"
c,若只允许*.tt.com下各个子域名访问,则设置为:domain="*.tt.com"
二,flash标签配置不当可能导致不信任flash的XSS漏洞
网页在引入flash的时候,会通过object/embed标签进行加载,在设置标签的时候,如果一些属性配置不当,会带来安全问问题,如flash XSS。这里几个非常关键的参数,说明如下:
1,allowScriptAccess:是否允许flash访问浏览器脚本,如果不对不信任的flash限制,默认会允许调用浏览器脚本,产生XSS漏洞。allowScriptAccess有以下属性:
always:总是允许HTML通信也就是Javascript执行;
sameDomain:允许来自本域的flash与HTML通信;
never:不允许flash与页面通信。
2,allowNetworking:是否允许flash访问ActionScript中的网络API,如果不对不信任的flash限制,会带来flash弹窗、CSRF等问题。
all:允许所有功能,会带来flash弹窗危害;
internal;可以向外发送请求/加载网页;
none:无法进行任何网络相关动作(业务正常功能可能无法使用)
配置建议:
对于不信任flash源,我们可以采取以下措施:
allowScriptAccess设置为never
allowNetworking设置为none(业务需要可以放宽为internal)
0 0
- 关于flash安全性的关键tips
- Flash中的FULL_SCREEN_INTERACTIVE的安全性
- 关于 CGI 的安全性
- 关于“安全性”的思考
- 关于XML的tips
- 关于ashx的tips
- 关于access数据库的安全性
- 关于PDF的安全性解密
- 关于BroadCastReceiver安全性的思考
- 关于密码的安全性问题
- 关于Online Judge 的Tips
- 关于GIT的常用TIPS
- 关于jenkins配置的tips
- 关于数组操作的tips
- 关于c++的小Tips
- 关于yii2的小tips
- flash player 安全性设置
- 关于flash的接口
- 第14周-项目2-形状类族中的纯虚构函数 .
- 条款19:设计class犹如设计type
- Could not find the main class ***.Program will exit
- “大型票务系统”和“实物电商系统”在支付方面的区别和联系
- 病毒木马经常呆的地方
- 关于flash安全性的关键tips
- 选择排序
- 读Head First设计模式小结
- 嵌入式 如何使用jlink从flash中读取数据保存为bin文件到本地
- JD 题目1040:Prime Number (筛法求素数)
- cocos2d-x 模态对话框的实现
- Java Objects Memory Structure
- window/linux下open()相对路径的误区
- sl4a学习笔记