Проблема безопасности в отношении flash .swf файлов

Question

Я разрешаю людям загружать .swf файл (игры) на мой сервер. Я проверяю их и публикую на сайте хорошие. Может ли как-то теоретически поместить в игру сценарий чистого flash-загрузчика и загрузить вредоносные файлы на сервер? Все сценарии флэш-загрузки обычно требуют php / asp / любой другой скрипт, чтобы перехватить загрузку и взять ее оттуда. Можно ли это сделать теоретически с помощью prue flash, и если да… как вы это предотвратите?

Answer 1

В порядке уменьшения вероятности (более вероятно -> менее вероятно):

Любой SWF , обслуживаемый с вашего сервера , может вызывать доступные серверу сценарии. Если эти сценарии загружают что-либо, SWF может их использовать.

Если ваш сервер обслуживает междоменный домен, подходящий для сокетов, тогда SWF может реализовать Telnet, FTP, SSH и множество других протоколов на основе TCP. Если ваш сервер принимает автоматические загрузки с использованием этих протоколов, SWF может использовать их.

SWF-файл может иметь имя, которое, например, при поиске с помощью Unix find может быть понято как вызов другой команды (имена файлов Unix, например, допускают разрывы строк, поэтому чтение программы из потока вывода другого программа, использующая оболочку, может случайно спровоцировать расширение аргумента / выполнение случайного кода, если вы недостаточно внимательны).

Любая общая уязвимость может быть использована, как, например, если злоумышленник знает о способе передачи SWF-файла в программу, которая его читает, и каким-то образом заставляет программу выдавать некоторую конфиденциальную информацию; конечно, тогда все возможно. SWF, однако, не имеет никаких преимуществ в этом отношении, любой файл может быть в равной степени «полезным», если представится такая возможность.

Answer 2

Краткий ответ: нет - но вы должны быть обеспокоены XSS.

Технически, однако, вы уязвимы во время тестирования SWF-файла.В то время как Adobe обычно пытается защитить своих пользователей, помещая файлы .swf в песочницу, вы можете написать файл swf с локальным доступом к файлам (но без сетевых разрешений).

Когда ваш сервер обслуживает файл swf,SWF-файл выполняется на компьютере клиента, а не на вашем.ЕДИНСТВЕННОЕ различие в вашей ситуации заключается в том, что файл swf технически работает в том же домене, что и сам сервер, поэтому wvxw прав в том, что он может получить доступ к службам, которые вы выставили в этом домене.В обычном случае Adobe предотвращает доступ файлов SWF к ресурсам в разных доменах (если только у вас нет междоменного файла в корне сервера. Однако эта защита в основном предназначена для защиты пользователя файла SWF, а НЕ сервера. Злоумышленникможет легко перехватить запрос к файлу crossdomain.xml и передать его по своему усмотрению. Это позволяет swf-файлам отправлять запросы в любой домен.

Как уже упоминалось, flash (или любой другой язык на самом деле) можетВоспользуйтесь преимуществами любых ранее существовавших уязвимостей в вашей файловой системе.

Вам следует больше интересоваться XSS. Флэш-приложение может технически отправлять запросы в другой домен для сбора информации о ваших пользователях. Просто, чтобы подчеркнуть, действительноВ определенный момент после вашего одобрения приложение crafty flash может технически извлечь свой собственный файл swf из другого домена (который создатель утвердил с помощью файла междоменного домена) .Этот файл swf может иметь совершенно другое поведениечто вы одобрили.

Это общая проблема, когда вы даете своим пользователям возможность публиковать сообщения.XSS-атаки обычно предотвращаются путем анализа вредоносного кода на стороне сервера.В вашем случае это практически невозможно сделать, поскольку SWF-файлы находятся в двоичном формате.