socket服务器解决843端口策略文件的问题

最新推荐文章于 2021-02-12 20:36:17 发布
原创 最新推荐文章于 2021-02-12 20:36:17 发布 · 6.2k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#flash #安全沙箱 #策略 #843端口 #socket

本文记录了一次关于FlashPlayer在网络请求时的安全沙箱错误问题排查经历。重点介绍了如何正确配置跨域策略文件crossdomain.xml及解决自建socket服务器时遇到的策略文件加载问题。

记录一下帮人看问题的时候踩的一个坑。

flash player在进行网络请求时需要先确认是否配置策略文件,如果加载不到或没有对应权限,则会报错安全沙箱错误。


如果是http服务器,则要在根目录下配置crossdomain.xml文件。若需要修改策略文件加载地址,则对应client代码为Security.loadPolicyFile(“ http://www.xxx.com/crossdomain.xml ”)


这次主要是测试自建的socket服务器。用AIR写了一个简易的服务器观察过程。

Server: 监听了843端口和一个自定义的端口(13468)

Client 使用socket连接。测试时不能在flash中测试运行,应发布swf后,直接在flash player环境中运行。

在调用socket.connect后,服务端首先在843端口收到一条字符串信息 <policy-file-request/>

若不处理或返回内容错误,则会在自定义端口再次收到<policy-file-request/>

若仍不处理或返回错误,则client报错 SecurityError #2048

这个过程是在客户端发出请求时flash player 自动帮我们完成的。只有在收到了正确的策略文件信息后,客户端才会响应Event.CONNECT事件。


经过学习后知道client对应的策略检查代码为:

 Security.loadPolicyFile(“xmlsocket://www.xxx.com:port”)

可以注意到,这个策略文件的数据传输方式是基于xmlsocket的。


坑就在这里!

xmlsocket的数据传输需要在数据的末尾检测到'\0'(也就是ASCII码的0),才会认为数据接收结束。

AS3在字符串里写"\0"会直接解析成"0",也就失去了原本的意义。

只有写  var str:String = "xxxxx" + String.fromCharCode(0); 时,才是正确的在字符串结尾插入了一个ASCII码为0的字符


但!是!

悲催的在字符串转换成二进制的时候,这个好不容易加上的'\0'被自动忽略掉了。

于是才有了一下午的测试失败。因为在客户端那边,一直没收到这个结束字符,一直认为收到的数据不完整,策略文件配置自然不会生效。


来个原理测试图:



最终的解决办法,就是在843端口接到请求后,返回的数据转换为二进制以后,手动在数据的末尾加一个字节的0


好吧,最后处理起来确实很简单,但最重要的还是知道坑在哪,为什么是坑,对吧?

“心脏滴血”漏洞复现
m0_60429594的博客
12-16 5598
“心脏滴血”简介: Heartbleed漏洞是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查。攻击者可以追踪OpenSSL所分配的64KB缓存、将超出必要范围的字节信息复制到缓存当中再返回缓存内容,这样一来受害者的内存内容就会以每次64KB的速度进行泄露。如同漏洞成因所讲,我们可以通过该漏洞读取每次攻击泄露出来的信息,所以可能也可以获取到服务器的私钥,用户cookie和密码等。所以本次会将“心脏滴血”漏洞进行复现。 1.环境准备 虚拟机准备: bee-box v1.6
工作站和塔式服务器有什么区别
wangdunkeji_idc的博客
05-29 3071
对于许多非技术企业来说,了解何时使用服务器与工作站的关系并不总是很清楚。但是,尽管服务器和工作站共享一些相同的基本硬件(它们都依赖于硬盘驱动器,RAM,处理器和网络适配器),但企业需要了解这两者是公司网络体系结构的真正不同部分。今天网盾科技就给大家讲讲工作站和塔式服务器有什么区别。 了解服务器与工作站 为了向非技术性最终用户解释服务器与工作站之间的区别,可以将服务器视为大型公司的办公室经理,负责促进服务和与其他办公室的通信。可以将工作站与单个团队经理进行比较,后者的任务是执行重要的日常任务并从.
常见的端口漏洞
Fly_鹏程万里
12-16 3406
端口           服务                       常见漏洞 21               FTP                     匿名访问,弱口令 22               SSH                    弱口令登录 23              Telnet                   弱口令登录 80          ...
解决xmlsocket 需要的843端口
11-20
解决xmlsocket 需要的843端口
用golang解决 Flash AS3 的 socket 安全策略文件问题
莫克陶的blog
02-02 3070
代码如下: package main import ( "bufio" "fmt" "net" "os" "time" ) const ( Head = 4 ) var ( ClientMap map[int]net.Conn = make(map[int]net.Conn) ) func main() { fmt.Println(os.Args[0]) ip_port
AIR 版 843端口策略文件服务器
05-13
通过这些文件,开发者可以构建并运行一个本地的843端口策略文件服务器,为Flash或AIR应用提供安全的Socket通信环境。在实际部署中,确保策略文件的安全性和正确性至关重要,因为它们直接关系到应用的数据安全和隐私...
AIR版843端口自定义策略文件服务器功能解析
【标题】:"AIR 版 843端口策略文件服务器" 知识点: 1. Adobe Integrated Runtime (AIR): AIR是一种跨平台的应用程序运行时环境,用于开发和部署富互联网应用程序(RIA),使得这些应用程序能够在桌面操作系统...
服务器843端口安全策略文件配置脚本
服务器端口843是Adobe官方指定用于安全策略文件分发的端口。安全策略文件(通常名为crossdomain.xml)是服务器上的一份XML文件,它规定了允许哪些域的flash内容访问服务器上的资源。这有利于控制和管理跨域请求,...
C#高并发SOCKET服务器和客户端完整工程实例源码.zip
11-15
本示例源码提供了C#语言实现的高并发SOCKET服务器和客户端的完整工程实例,这为开发者提供了学习和实践网络通信机制的机会。C#作为一种强大的.NET平台语言,拥有丰富的库支持,使得构建这样的系统变得相对简单。 ...
socket工程文件完成端口版本
09-03
本文将深入探讨“socket工程文件完成端口版本”所涉及的核心概念和技术,包括Socket接口、完成端口(I/O Completion Ports, IOCP)以及客户端和服务器端的交互过程。 首先,Socket是操作系统提供的接口,它允许应用...
C写的flash策略服务器-843端口
03-26
void usage(void) { fprintf(stderr, "%s [-f policyfile] [-p port] [-u username] [-c chrootdir]\n" "Defaults: -f %s, -p %i, -u %s, -c %s\n", __progname, DFLT_FILE, DFLT_PORT, DFLT_USER, DFLT_CHROOT); }
实现解决843端口安全策略问题心得
好笑不好笑
03-24 6166
首先我这遇到一个问题,就是解决843端口安全策略文件问题。 因为不了解843端口安全策略文件的,百度查找资料 搜索关键字 “843端口” 有一个貌似问题很接近,进去查看一番,里面提到 什么东西根本不清楚呀下边大概看了下,无从下手无果放弃继续搜索关键字“linux 解决843端口” 第一个进去查看还是跟之前的差不多 但是每个里面都多次提到这个东西 继续往下看看着都像...
java flash socket_Flash与java的socket通信,843端口代码!
weixin_35691102的博客
02-12 164
import java.io.BufferedReader;import java.io.IOException;import java.io.InputStreamReader;import java.io.PrintWriter;import java.net.ServerSocket;import java.net.Socket;public class SocketServer843 {p...
flash 安全服务策略文件 关于843端口_关于OpenSSH你必须知道的几个小技巧
weixin_39644915的博客
11-08 291
本来标题准备直接写SSH的,不过后来又想到这个词好像在不同领域里面还有不同的意思,所以为了避免歧义,就直接改成了OpenSSH,就是我们用来远程连接Linux服务器的那个ssh。其实这个工具非常的好用,有一些命令和用法最近才知道,所以我就赶快写了这篇文章,给大家分享一下。安装OpenSSH在Linux上,这个包可以说是必备的,就不多说了。而在Windows上,有很多模拟Linux的工具附带了Ope...
java与FlashSocket通信安全
gsb490363212的专栏
11-08 217
在Adobe Flash Player升级到9.0.124后,由于安全策略的更改,使得在socket或xmlsocket的应用里,原先如用http方式加载安全策略的手段不能继续使用了,类似此类应用必须使用xmlsocket://方式来提供安全策略flashplayer的安全策略检测过程如下: 1,首先检测目标服务器843端口是否提供安全策略 2,如果1没有检测到策略,则检测actio...
flash 安全服务策略文件 关于843端口_接口安全性测试技术(1):OWASP Top Ten
weixin_39551366的博客
11-30 261
OWASP Top TenOWASP Top 10是一个面向开发人员和web应用程序安全性的标准意识 文档。它代表了关于web应用程序最关键的安全风险的广泛共识。 十大Web应用程序安全风险(2017版)注入:注入缺陷,如SQL、NoSQL、OS和LDAP注入,当将不受信任的数据作为命令或查询的一部分发送到解释器时注入缺陷随即产生。攻击者的恶意数据可以欺骗解释器执行非预期的命令或在没有适当授权的情...
Flash Socket通信的安全策略问题 843端口
wwj256的专栏
11-23 618
1、问题描述      将flash发布为html格式后,加载页面后,swf无法与服务器进行socket通信。Flash端显示的错误为:securityErrorHandler信息: [SecurityErrorEvent type="securityError" bubbles=false cancelable=false eventPhase=2 text="Error #2048"]    ...
接口安全性测试技术(1):OWASP Top Ten
08-25 543
OWASP Top Ten OWASP Top 10是一个面向开发人员和web应用程序安全性的标准意识 文档。它代表了关于web应用程序最关键的安全风险的广泛共识。 十大Web应用程序安全风险(2017版) 注入:注入缺陷,如SQL、NoSQL、OS和LDAP注入,当将不受信任的数据作为命令或查询的一部分发送到解释器时注入缺陷随即产生。攻击者的恶意数据可以欺骗解释器执行非预期的命令或在没有适当授权的情况下访问数据。 失效的身份认证:与身份验证和会话管理相关的应用程序功能通常会错误地实现,从而使攻击者能够破.
Flash Socket协议获取843端口策略文件_压力测试
李秀龙 质量管理
04-19 2840
在内网ip:10.x.x.x(通过专线)服务器上分别部署三种方式的tcp连接:并发最佳用户数(继续增加用户会失败)的情况下运行10分钟。运行过程TPS和响应时间比较稳定,并且没有失败。而三种TCP连接方式的性能也差别不大,相对来说C的稍好一些。 相同场景下通过外网223.x.x.x(对应内网10.x.x.x)进行测试。TPS逐渐下降,运行3分钟由于连接超时出现失败请求。 通过以上对比可以看出,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值