Flash应用安全规范-软件修改-福州电脑维修|上门维修维护|包年电脑维修|IT外包

Flash应用安全规范

而且将login应用部署到/flash/目录，用户的访问将被限定到/flash/上面，无法对其他功能进行操作。
0×02 宁静的客户端flash宁静规范
控制好flash宁静计谋并不是宁静的全部，这样只能保证服务端的宁静。由于一些功能上的缘故原由，譬如为了寻求精良的用户体验，为了让无聊的用户可以在页面共享种种flash，为了把页面做得富丽丽的，我们往往必要在页面内容里嵌入flash，这个时候宁静性就会被抛到一边（我们还是建议要是不必要的话还是少用这种动态的工具）。我们在一个页面引入一个flash时，一样平常的做法是上面这种情势：

由于flash的壮大，而且在页面元素里基本同等于script这种危险的标签，对于这点，flash曾经有所考虑，在引入flash的时候flash提供了控制属性，此中与宁静最为要害的是AllowScriptAccess属性和allowNetworking属性。此中AllowScriptAccess控制flash与html页面的通讯，可选的值有：
always //对与html的通讯也就是执行javascript不做任何限定
sameDomain //只允许来自于本域的flash与html通讯，这是默许值
never //相对克制flash与页面的通讯
默许环境下的选项是sameDomain，这个时候某些场景下看起来也是充足宁静了，但是我们还是能看到经常有程序允许将这个选项设置为always，而纵然是sameDomain也不是在全部场景下都宁静的，考虑如论坛这样的程序，上传和展现都是在同一个域的环境下，就不存在任何宁静性可言了，我们猛烈建议该选项为never，要是你选择sameDomain或者always我也希望你明白自己在做什么。
allowNetworking控制flash与外部的网络通讯，可选的值包括：
all //允许使用全部的网络通讯，也是默许值
internal //flash不能与欣赏器通讯如navigateToURL，但是可以调用其他的API
none //克制任何的网络通讯
但是最近更新的flash客户端貌似是只要AllowScriptAccess被设置那么包括navigateToURL都不能使用，在官方文档上也只看到简简略单的一句致歉，但是这样简直从某些水平上提高了嵌入flash的宁静性。但是纵然不跳转，我们还是能做很多事变，当我们将flash间接嵌入到页面又没有设置allowNetworking时，我们就可以做csrf之类猥琐的事变，更要命的是这种情势的csrf支持POST恳求，referer泉源为swf文件地点地址或者为空，同时发送全部cookie而不像图片那些只能发送session cookie，而且基本没有任何的陈迹，基本秒杀那些没有做token掩护的csrf防备了，之前的开心网犯的就是这个错误，我们猛烈建议该选项为none，要是你不选择这个建议你也要明白自己在做什么。
0×03 flash宁静的checklist
1 查抄自己的网站的根目录的crossdomain.xml
好孩子：
http://mail.google.com/crossdomain.xml
http://youa.baidu.com/crossdomain.xml
http://www.adobe.com/crossdomain.xml
坏孩子：
http://www.youku.com/crossdomain.xml
http://www.renren.com/crossdomain.xml
http://www.taobao.com/crossdomain.xml
我承认全部的使用都离不开场景，有的时候要是着实没有措施修改这个crossdomain.xml（这个环境简直存在，譬如某些变态功能的必要），那么就可以考虑在应用程序获取数据时对提交的数据做校验，譬如当恳求的头里包括x-flash-version时，就可以判定泉源是flash而不予响应，但这简直不是一种优美的解决措施。
2 查抄自己网站引入flash的代码
有AllowScriptAccess和allowNetworking么？要是没有，那是不是我这个应用设计曾经很宁静充足抵御种种攻击了?
要是想针对宁静题目做测试，fly_flash是方便的攻击客户端的好伙伴（拜见开心网蠕虫），要是想针对第一种错误的计谋文件打破csrf等做测试就还得自己写源码了。别的，精良的设计的最大敌人就是坏的实现，缘故原由也是各个程序之间天然的心之壁垒，猜猜

这段代码的效果是什么?

福州电脑维修

TAG:

评论加载中...