漏洞问题 - Security.allowDomain(*) - Flow player

Question

我们在网站上使用 Flow 播放器控件来观看视频。我们可以正常观看视频。 但是当我们运行网站安全漏洞测试时，检测到了一个可能的威胁。

Thread -- Security.allowDomain("*") 用于 Flash 电影 http://abc.com/JScripts/flowplayer-3.1.5.swf

流播放器版本为3.1.5

谁能告诉我们需要做什么来处理这种安全威胁？ 下面是代码

<script type="text/javascript" language="JavaScript">
    flowplayer("player", "../JScripts/flowplayer-3.1.5.swf", {
        clip: {url: '<%= getVideoUrl() %>', autoPlay: false,autoBuffering: true},
        plugins:
            {
                controls:
                {
                    url: '../JScripts/flowplayer.controls-3.1.5.swf',
                    all: false, play: true, stop: true, scrubber: true,volume: true,
                    mute: true, time: true, tooltips: {buttons: true, fullscreen: 'Enter fullscreen mode'}
                }
            }
        }); 
</script>

Answer 1

这只是说您允许所有域运行您的脚本并正确使用它们，假设有人想从另一个站点运行您的 swf 脚本。 “*”部分表示每个域都可以这样做。漏洞评估表明这是一个问题，因为所有域都可以访问您的 swf 文件中的变量和对象，但是通过自动漏洞评估，您通常会得到很多误报。如果您仍然担心，请查看http://help.adobe.com/en_US/FlashPlatform/reference/actionscript/3/flash/system/Security.html的文档

Answer 2

这是一个大问题。在许多情况下，这意味着攻击者可以：

1. 在任何域上托管攻击者 SWF
2. 将您的 SWF 加载到他的
3. 让用户加载历史 SWF（例如在不可见的框架中）
4. 通过易受攻击的 SWF 对您的域执行 HTTP 请求并附加所有环境用户凭据（cookie 或 HTTP 身份验证）

假设您有http://www.abc.com/mail，可以使用 cookie 或 HTTP Auth 访问。攻击者可能能够加载所有数据并将其发送到他的服务器。

• 解决方案 1：删除所有 allowDomain() 调用
• 解决方案 2：仅允许 受信任或控制的攻击者无法将 SWF 上传到
• 解决方案 3： 在不使用环境的其他服务器上托管易受攻击的 SWF 凭据