我发现了一些类似的动作脚本代码:
var s:Sound = new Sound();
s.addEventListener(Event.COMPLETE, onSoundLoaded);
var req:URLRequest = new URLRequest(XX_EXTERNAL_URL);
s.load(req);
在哪种情况下,攻击者可以控制XX_EXTERNAL_URL,是否容易受到攻击?
答案 0 :(得分:0)
很可能它只会产生声音转换错误或垃圾声,而对SWF播放器或系统没有任何额外影响。人们需要在声音代码中出现错误,这会导致代码注入或数据损坏,从而使攻击成功。但是,使用Sound对象的预定义代码,它可以存在与否,因此如果从其他地方加载声音,它将不会更容易受到攻击。