关于flash安全性的关键tips

一,crossdomain.xml配置不当导致csrf等漏洞
        我们知道,网站根目录下的控制flash访问的授权文件crossdomain.xml指明了远程flash是否允许加载当前网站的资源(如图片,网页内容,flash,cgi等),若配置不当,可能导致未授权的flash可以加载该站点的相关资源,从而可能导致CSRF攻击。
       检查的方法很简单,直接访问http://your.web,site/crossdomain.xml,查看里面的配置信息,一般如下:
<?xml version="1.0"?>
<cross-domain-policy>
      <allowe-access-from domain="*" />
</cross-domain-policy>

解决办法如下:
1,对不允许外部加载资源的网站,可以把该文件直接删除,即不授权;
2,对允许指定域名访问的,更改allow-access-from的domain属性为域名白名单,这里需要按照最小化的方式进行设置,举例如下,
  a,若只允许abc.cb.tt.com访问,则设置为:domain="abc.cb.tt.com"
  b,若只允许*.cb.tt.com下各个子域名访问,则设置为:domain="*.cb.tt.com"
  c,若只允许*.tt.com下各个子域名访问,则设置为:domain="*.tt.com"
   
二,flash标签配置不当可能导致不信任flash的XSS漏洞
         网页在引入flash的时候,会通过object/embed标签进行加载,在设置标签的时候,如果一些属性配置不当,会带来安全问问题,如flash XSS。这里几个非常关键的参数,说明如下:
 1,allowScriptAccess:是否允许flash访问浏览器脚本,如果不对不信任的flash限制,默认会允许调用浏览器脚本,产生XSS漏洞。allowScriptAccess有以下属性: 
       always:总是允许HTML通信也就是Javascript执行; 
       sameDomain:允许来自本域的flash与HTML通信; 
       never:不允许flash与页面通信。
 
 2,allowNetworking:是否允许flash访问ActionScript中的网络API,如果不对不信任的flash限制,会带来flash弹窗、CSRF等问题。
       all:允许所有功能,会带来flash弹窗危害;
       internal;可以向外发送请求/加载网页;
       none:无法进行任何网络相关动作(业务正常功能可能无法使用) 

       配置建议:
       对于不信任flash源,我们可以采取以下措施: 
       allowScriptAccess设置为never 
       allowNetworking设置为none(业务需要可以放宽为internal)

你可能感兴趣的:(关于flash安全性的关键tips)