Flash 安全配置缺陷漏洞

网站存在Flash 安全配置缺陷,该漏洞可导致跨域访问,让用户访问非法Flash文件。

  1. allowScriptAccess:是否允许flash访问浏览器脚本。如果不对不信任的flash限制,默认会允许调用浏览器脚本,产生XSS漏洞。
    always(默认值),总是允许;sameDomain,同域允许;never,不允许

  2. allowNetworking:是否允许flash访问ActionScript中的网络API。如果不对不信任的flash限制,会带来flash弹窗、CSRF等问题。

all,允许所有功能,会带来flash弹窗危害;internal,可以向外发送请求/加载网页;none,无法进行任何网络相关动作(业务正常功能可能无法使用)

可带来如下危害:

  1. 网站的Flash配置文件crossdomain.xml配置不当,存在Flash跨域攻击安全隐患。

修复建议:

  1. 修改flash安全策略,做严格限制,比如限制到网站当前域;
  2. 找到相应目录下的crossdomain.xml文件,找到代码:cross-domain-policy allow-access-fromdomain=* cross-domain-policy改成:cross-domain-policy allow-access-from domain=改成你的网站地址 cross-domain-policy。

results matching ""

    No results matching ""