漏洞問題 - 的Security.allowDomain（*） - 流量球員

Question

我們使用網站上的流播放器控制觀看視頻的。我們能夠正確地觀看視頻。 但是，當我們運行網站安全漏洞測試時，檢測到可能的威脅。

主題 - 的Security.allowDomain（「*」）在Flash影片使用 http://abc.com/JScripts/flowplayer-3.1.5.swf

流播放器版本3.1.5

誰能告訴需要做的事情來處理這算什麼安全威脅？ 下面是代碼

<script type="text/javascript" language="JavaScript"> 
    flowplayer("player", "../JScripts/flowplayer-3.1.5.swf", { 
     clip: {url: '<%= getVideoUrl() %>', autoPlay: false,autoBuffering: true}, 
     plugins: 
      { 
       controls: 
       { 
        url: '../JScripts/flowplayer.controls-3.1.5.swf', 
        all: false, play: true, stop: true, scrubber: true,volume: true, 
        mute: true, time: true, tooltips: {buttons: true, fullscreen: 'Enter fullscreen mode'} 
       } 
      } 
     }); 
</script> 

Answer 1

，這只是說，你讓所有的域運行腳本，並正確地使用它們，說有人想從其他網站上運行您的SWF的腳本。 「*」部分表示允許每個域都這樣做。漏洞評估認爲這是一個問題，因爲所有域都可以訪問swf文件中的變量和對象，但通過自動漏洞評估，您通常會得到很多誤報。如果你還在擔心看一看該文檔在http://help.adobe.com/en_US/FlashPlatform/reference/actionscript/3/flash/system/Security.html

Answer 2

這是一個巨大的問題。在許多情況下，這意味着攻擊者可以：在任何領域

1. 主機攻擊SWF加載您的SWF到他
2. 製作用戶負載HIST SWF（在如隱框）
3. 執行HTTP請求通過易受攻擊的SWF附加所有環境用戶憑據（Cookie或HTTP身份驗證）的域名

想象一下，您可以使用Cookie或HTTP身份驗證訪問http://www.abc.com/mail。攻擊者可能能夠加載所有的數據並將其發送到他的服務器。

• 解決方案1：刪除所有的allowDomain（）調用
• 解決方案2：只允許 可信或控制，即攻擊者不能上傳到SWF
• 解決方案3：該沒有按其他服務器上 主機脆弱SWF不使用環境 憑據