关于flash安全性的关键tips

最新推荐文章于 2024-01-08 09:33:18 发布
最新推荐文章于 2024-01-08 09:33:18 发布
阅读量1.8k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/tenfyguo/article/details/27564585
本文探讨了Flash安全性的两个关键问题:crossdomain.xml配置不当引发的CSRF漏洞和Flash标签配置错误导致的XSS漏洞。提供了解决方案,包括设置crossdomain.xml的白名单策略和调整Flash标签的allowScriptAccess与allowNetworking属性,以增强网站安全性。
一,crossdomain.xml配置不当导致csrf等漏洞
        我们知道,网站根目录下的控制flash访问的授权文件crossdomain.xml指明了远程flash是否允许加载当前网站的资源(如图片,网页内容,flash,cgi等),若配置不当,可能导致未授权的flash可以加载该站点的相关资源,从而可能导致CSRF攻击。
       检查的方法很简单,直接访问http://your.web,site/crossdomain.xml,查看里面的配置信息,一般如下:
<?xml version="1.0"?>
<cross-domain-policy>
      <allowe-access-from domain="*" />
</cross-domain-policy>

解决办法如下:
1,对不允许外部加载资源的网站,可以把该文件直接删除,即不授权;
2,对允许指定域名访问的,更改allow-access-from的domain属性为域名白名单,这里需要按照最小化的方式进行设置,举例如下,
最低0.47元/天 解锁文章

新学期VIP享超值加赠
【笔记】结合CTF理解Web安全
诗酒趁年华
05-31 1233
这三者关系是互补的,当SDL出现差错时,可以通过周期性的扫描,安全评估等工作将问题及时解决,而入侵检测(suricata),WAF(ModSecurity)等系统,则可以在安全事件发生后的第一时间进行响应,并有助于时候定损,如果三者只剩其一,都可能使得公司的安全体系出现短板,给攻击者带来可乘之机。
Java Python 等语言代码安全-为什么flash必须被淘汰
mai_li的博客
08-16 716
1. 安全问题:Flash 存在许多安全漏洞,黑客可以利用这些漏洞攻击用户的计算机,例如通过恶意 SWF 文件注入恶意代码、窃取用户敏感信息等。2. 性能问题:Flash 的性能相对较差,会消耗大量的系统资源,导致页面加载缓慢、卡顿等问题。3. 兼容性问题:Flash 在不同的浏览器和操作系统上的兼容性存在问题,需要不同的插件和版本支持,给开发者和用户带来了不便。4. 移动端不支持:Flash 不支持移动设备,随着移动设备的普及,Flash 的市场份额逐渐下降。
Flash安全的一些总结
每一次对问题的深究,总会收获新的知识和体会
01-02 3006
转载自:http://drops.wooyun.org/tips/153 整理了下Flash安全相关的知识,后面会再完善  一、先来说crossdomain.xml这个文件 flash如何跨域通信,全靠crossdomain.xml这个文件。这个文件配置在服务端,一般为根目录下,限制了flash是否可以跨域获取数据以及允许从什么地方跨域获取数据。 比如下面的
flash安全的各个方面的问题
10-08
全面讲述了Flash安全的相关问题,包括: 1. FLASH沙箱 2. flash攻击方法 3. 如何写安全的flash代码 4. flash跨域 5. flash的安全部署 6. flash嵌入页面需要注意的问题
Flash配置不当漏洞”详解
m0_49025459的博客
01-17 2320
可被用来进行跨域访问,可能会导致“跨站点伪造请求”或“跨站点跟踪”(“跨站点脚本编制”的变体)之类的攻击,从而导致其它用户的信息被非法读取。导致不受信任的第三方域的flash也能访问当前域的资源,绕过同源策略的限制,可为后续渗透攻击做准备,flash的跨域均可能导致XSS,CSRF等问题。Flash 显示程序接受 AllowScriptAccess 之类的对象参数。
Flash:Flash Player 安全性·全屏模式安全性(闷)
Winters_huang'Blog
06-28 1443
Flash 嵌入HTML后全屏无法使用除上下左右 ESC外的所有快捷键。 Flash Player 9.0.27.0 和更高版本支持全屏模式,在该模式中 Flash 内容可以填满整个屏幕。要进入全屏模式,需将 Stage 的 displayState 属性设置为 StageDisplayState.FULL_SCREEN 常量。有关详细信息,请参阅处理全屏模式。对于
flash(swf)安全总结
balance的博客
04-23 2755
前言:Adobe Flash 2017年7月25号,在官方博客上宣布到2020年底停止更新Flash,鼓励开发者尽早使用新的标准( HTML5、WebGL 和 WebAssembly)进行开发然而现在还有许多视频站正在使用flash作为播放器,故本文还是归纳了部分利用flash(swf)的姿势,与大家交流​0、flash(swf)以宿主域出发(而不是使用域)判断 是否为跨域请求。A站上的flash...
OS X 系统的tips
11-10
保持操作系统和应用程序的最新版本是确保系统安全性和稳定性的关键。定期检查并安装系统更新和应用补丁,可以防止潜在的安全漏洞和性能问题。 #### 技巧八:个性化设置 OS X提供了丰富的个性化选项,允许用户根据...
【ThinkPad BIOS补丁安全性评估】:更新BIOS,这些风险你必须知道
本文深入探讨了BIOS在计算机安全性中的关键作用,揭示了BIOS工作原理及其与操作系统间的交互机制。文章着重分析了BIOS层面的安全漏洞及其对计算机系统的潜在危害,并通过ThinkPad BIOS补丁的实践案例,展示了补丁...
HTML尖端技巧与tips-main文件概览
安全性方面,HTML5通过支持沙箱模型和内容安全策略(CSP)来提升网页的安全性。沙箱模型限制了网页中运行脚本的能力,而CSP通过限制资源加载来减少跨站脚本攻击(XSS)的风险。 移动端的Web应用开发也是一个重要...
怎样进行flash安全性设置
weixin_34341117的博客
06-27 239
http://www.macromedia.com/support/documentation/cn/flashplayer/help/settings_manager04.html 转载于:https://blog.51cto.com/1213785174/1431457
FlashPlayer的安全性比上不足比下有余 *未必是真实的数据
tiangej的专栏
01-05 1065
以下文章在【雷锋网】中没有查找到。会不会是杜撰的? ======================================== 苹果系统安全吗?顶级黑客告诉你这是错觉 http://www.yangtse.com/keji/2016-01-05/753032.html ======================================== 654,这个
常见的网站漏洞
xysoul的专栏
04-18 6986
1. 注入漏洞  (1)sql注入。   (2 )xss ( cross site script) 跨站脚本攻击。   服务端:      echo $_GET['s'];   浏览器URL:    test.demo.com/index.php?s=(页面就会被注入js    脚本)  (3)命令注入漏洞。    通过GET提交的
Web漏洞检测及修复
秋天穿秋裤的Blog
07-16 2504
挺全的,建站时候应该一一检测,做安全审查~
不安全的配置----mini_httpd任意文件读取漏洞(CVE-2018-18778)
qq_43571759的博客
05-01 1210
mini_httpd任意文件读取漏洞(CVE-2018-18778) Mini_httpd是一个微型的Http服务器,在占用系统资源较小的情况下可以保持一定程度的性能(约为Apache的90%),因此广泛被各类IOT(路由器,交换器,摄像头等)作为嵌入式服务器。而包括华为,zyxel,海康威视,树莓派等在内的厂商的旗下设备都曾采用Mini_httpd组件。 在mini_httpd开启虚拟主机模式的...
常规渗透测试
weixin_43387567的博客
03-04 607
Apache样例文件泄漏 测试方法   在链接的根目录中添加examples或者docs目录进行访问判断! 漏洞描述  apache一些样例文件没有删除,可能存在cookie、session伪造,进行后台登录操作 修复建议  1、删除样例文件  2、对apache中web.xml进行相关设置 弱口令 测试方法   先手工尝试一些最基本的弱口令,如admin/admin、admin/123456、a...
Web常见漏洞描述及修复建议
Galaxy_0的博客
01-03 2774
Web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行,导致参数中的特殊字符破坏了SQL语句原有逻辑,攻击者可以利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。代码层最佳防御sql漏洞方案:使用预编译sql语句查询和绑定变量。(1)使用预编译语句,使用PDO需要注意不要将变量直接拼接到PDO语句中。所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。
【网络】常见36种web渗透测试漏洞描述及解决方法
最新发布
ZL_1618的博客
01-08 1220
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
常见web漏洞及防范(转)
热门推荐
hackerie的博客
01-22 1万+
单个漏洞,需要进行排查与整改,借着别人的智慧,做一个简单的收集。最好能够将常见漏洞,不限于web类的,进行一个统一的整理。这是今年的任务。 进行漏洞的工具的收集,为未来的工作做好基础。。。 一、SQL注入漏洞 SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串中夹带的S...
JavaScript工具提示条Tips的实现方法
- **安全性**:在使用第三方库时,要确保这些库是安全的,没有已知的漏洞。 - **可维护性**:编写易于理解和维护的代码,并提供清晰的文档,方便未来的开发者使用和修改。 ### 总结 通过以上分析,我们可以看出,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值