Уязвимы ли удаленные флеш-файлы?

Question

В настоящее время я могу пользователям добавлять объекты application / x-shockwave-flash в свои профили на моем веб-сайте.Я только отфильтровал URL-адрес, а для типа содержимого установлено значение «application / x-shockwave-flash»

Существуют ли какие-либо уязвимости, позволяющие моим пользователям ссылаться на удаленные файлы flash / видео?

Answer 1

В принципе это должно быть безопасно, если предположить, что пользователи указывают только файл (они не пишут код для встраивания), и что они не могут загружать файлы на ваш сервер.

Возможно, вы захотите сделатьиспользуйте параметры allowNetworking и allowScriptAccess в теге embed, куда вы встраиваете SWF, чтобы ограничить то, что разрешено делать этим встроенным SWF.Подробнее см. здесь .

Кроме того, я предполагаю, что у вас нет широко открытого файла crossdomain.xml на вашем сервере.Если вы все открываете междоменный доступ, то я думаю, что горячая ссылка на неизвестные SWF-файлы может быть небезопасной.(Если у вас нет файла политики crossdomain.xml, все в порядке - по умолчанию не предоставляется доступ, если политики не существует.)

Answer 2

Поскольку пользовательский Flash-контент будет размещаться на других доменах, он будет помещен в «песочницу» в проигрывателе Flash и не сможет получить доступ к чему-либо критически важному для вашего домена.