Проблема уязвимости - Security.allowDomain (*) - Flow player - PullRequest
Новая
       11

Проблема уязвимости - Security.allowDomain (*) - Flow player

1 голос
/ 28 ноября 2011

Мы используем элемент управления Flow Player на веб-сайте для просмотра видео. Мы можем просматривать видео правильно. Но когда мы запустили тест уязвимости веб-сайта, была обнаружена возможная угроза.

Тема - Security.allowDomain ("*") используется во Flash-фильме http://abc.com/JScripts/flowplayer-3.1.5.swf

Версия проигрывателя потока 3.1.5

Может кто-нибудь сказать, что нужно сделать, чтобы справиться с этой угрозой безопасности? Ниже приведен код 

<script type="text/javascript" language="JavaScript">
    flowplayer("player", "../JScripts/flowplayer-3.1.5.swf", {
        clip: {url: '<%= getVideoUrl() %>', autoPlay: false,autoBuffering: true},
        plugins:
            {
                controls:
                {
                    url: '../JScripts/flowplayer.controls-3.1.5.swf',
                    all: false, play: true, stop: true, scrubber: true,volume: true,
                    mute: true, time: true, tooltips: {buttons: true, fullscreen: 'Enter fullscreen mode'}
                }
            }
        }); 
</script>

Ответы [ 2 ]

1 голос
/ 28 ноября 2011

Это просто говорит о том, что вы разрешаете всем доменам запускать ваш сценарий и правильно их использовать, например, кто-то хочет запустить ваш сценарий swf с другого сайта. «*» означает, что каждый домен может это делать. В оценке уязвимости говорится, что это проблема, потому что все домены имеют доступ к вашим переменным и объектам в вашем SWF-файле, однако при автоматической оценке уязвимости вы обычно получаете много ложных срабатываний. Если вы все еще обеспокоены, посмотрите документы на http://help.adobe.com/en_US/FlashPlatform/reference/actionscript/3/flash/system/Security.html

0 голосов
/ 03 апреля 2013

Это огромная проблема.Во многих случаях это означает, что злоумышленник может:

  1. Хост-файл SWF-файла злоумышленника в любом домене
  2. Загрузить свой SWF-файл в его
  3. Заставить пользователя загрузить историю SWF (например, в невидимыйframe)
  4. Выполнение HTTP-запросов к вашему домену со всеми прикрепленными учетными данными окружающего пользователя (куки-файлы или HTTP-аутентификация) через уязвимый SWF

Представьте, что у вас есть http://www.abc.com/mail, то естьдоступно через cookie или HTTP-аутентификацию.Злоумышленник может загрузить все эти данные и отправить их на свой сервер.

  • Решение 1: удалить все вызовы allowDomain ()
  • Решение 2: разрешить только доверенному или контролируемому злоумышленникуневозможно загрузить SWF на
  • Решение 3: разместить уязвимый SWF на другом сервере, который не использует учетные данные окружения
...