【问题标题】:SWF hosting securitySWF 托管安全
【发布时间】:2010-09-19 00:06:14
【问题描述】:

我已经开始在 as3 中开发绘图应用程序。我在想我可以集成一个 cms 并允许 swf 文件在运行时作为图形上传。这里涉及第三方可能是恶意 swf 文件的潜在安全问题是什么?

我只是将 swf 作为自定义精灵类添加到蒙面容器精灵中。 这是否会打开一个漏洞来运行其他脚本(另一台服务器上的 js?)或者以不安全的方式访问客户端的计算机?

我将不胜感激任何推荐阅读和/或像这样的 swf 托管的建议/经验。我看到现在很多网站都在这样做,例如 Wonderfl 和 activeden。

【问题讨论】:

    标签: actionscript-3 security actionscript hosting flash


    【解决方案1】:

    这是等效于 XSS 的 ActionScript。您的域将不再受Same Origin Policy 保护。攻击者可以使用它来劫持 Session ID (Cookie)、破坏您的网站或向访问您网站的任何浏览器提供漏洞利用代码。

    【讨论】:

    • 我必须重新阅读这篇文章才能理解这个概念。我假设如果用户在应用程序中上传 swf 作为图形,然后将其保存在服务器上。当另一个用户再次打开加载相同 swf 的应用程序时,默认不允许该 swf 跨域访问。
    • 我想如果我走这条路,它确实会为某人打开另一个漏洞,但并不是说不需要特别的努力。我猜这留下的漏洞就是 Adob​​e 处理的漏洞。虽然我可能仍然忽略了一些东西。您认为在另一个用户将 swf 图形加载到其客户端实例之前,使用服务器端病毒扫描程序来扫描 swf 是否合适?
    • @user332096 跨域访问不起作用。这里的问题是您允许上传并执行 SWF 文件。此 SWF 文件将在您的域的上下文中运行,并且可以包含任何内容。病毒扫描程序可以确保这个 swf 文件没有利用 flash,但它仍然可能是一个非常简单的利用程序,它抓取document.cookie 并将其传输到另一个域。只要作者是唯一能够访问他上传的 swf 文件的人,那么它就不能用于获取其他用户的 cookie,这大大限制了影响。
    • 非常好 Rook 我明白了,swf 将受到它来自的域的信任。这是一个大问题。
    • @user332096 谢谢,我很乐意提供帮助。我想你现在明白了网络应用安全方面的一大堆问题。
    【解决方案2】:

    我认为与其在服务器上保存一大堆 SWF,不如序列化您的绘图数据,并让您的主 SWF 根据加载的数据重新绘制绘图。您仍然可以使用 CMS/数据库来存储和管理这些数据。

    编辑*

    如果您需要加载 SWF,请查看 Specifying loading context。也许还可以阅读Loading Content

    【讨论】:

    • 他不是必须使用loadBytes来获取序列化数据吗,那不是更不安全吗?
    • 啊,是的,如果它们只是图纸,将它们序列化会很好。我希望将 swf 用作应用程序画布中复杂形状的矢量图形,有点像贴纸。
    猜你喜欢
    • 2012-03-19
    • 1970-01-01
    • 2010-10-28
    • 2016-08-18
    • 2014-03-19
    • 1970-01-01
    • 1970-01-01
    • 2011-11-16
    • 2015-04-22
    相关资源
    最近更新 更多