漏洞问题 - Security.allowDomain（*） - 流播放器

Question

我们在网站上使用Flow播放器控件来观看视频。我们可以正确地观看视频。 但是当我们运行网站安全漏洞测试时，检测到了可能的威胁。

Thread - Security.allowDomain（“*”）用于Flash影片 http://abc.com/JScripts/flowplayer-3.1.5.swf

流量播放器版本为3.1.5

有人能告诉我们需要做些什么来处理这种安全威胁吗？ 以下是代码

<script type="text/javascript" language="JavaScript">
    flowplayer("player", "../JScripts/flowplayer-3.1.5.swf", {
        clip: {url: '<%= getVideoUrl() %>', autoPlay: false,autoBuffering: true},
        plugins:
            {
                controls:
                {
                    url: '../JScripts/flowplayer.controls-3.1.5.swf',
                    all: false, play: true, stop: true, scrubber: true,volume: true,
                    mute: true, time: true, tooltips: {buttons: true, fullscreen: 'Enter fullscreen mode'}
                }
            }
        }); 
</script>

Answer 1

这只是说你允许所有域运行你的脚本并正确使用它们，比如有人想从另一个站点运行你的swf脚本。 “*”部分表示允许每个域都这样做。漏洞评估说这是一个问题，因为所有域都可以访问swf文件中的变量和对象，但是通过自动漏洞评估，您通常会得到很多误报。如果您仍然担心，请查看http://help.adobe.com/en_US/FlashPlatform/reference/actionscript/3/flash/system/Security.html

上的文档

Answer 2

这是一个很大的问题。在许多情况下，这意味着攻击者可以：

1. 任何域上的主机攻击者SWF
2. 将SWF加载到他的
中
3. 使用户加载hist SWF（例如，在不可见的框架中）
4. 通过易受攻击的SWF附加所有环境用户凭据（cookie或HTTP身份验证），向您的域执行HTTP请求

想象一下，您可以使用Cookie或HTTP Auth访问http://www.abc.com/mail。攻击者可能能够加载所有数据并将其发送到他的服务器。

• 解决方案1：删除所有allowDomain（）调用
• 解决方案2：仅允许 受信任或受控制，攻击者无法将SWF上载到
• 解决方案3： 在不使用环境的其他服务器上托管易受攻击的SWF 凭证