描述:目標(biāo)存在跨站腳本攻擊。
1.跨站腳本攻擊就是指惡意攻擊者向網(wǎng)頁(yè)中插入一段惡意代碼,當(dāng)用戶瀏覽該網(wǎng)頁(yè)時(shí),嵌入到網(wǎng)頁(yè)中的惡意代碼就會(huì)被執(zhí)行。
2.盡管swfupload.swf其對(duì)傳入ExternalInterface.call的第二個(gè)參數(shù)進(jìn)行了安全編碼,但對(duì)于函數(shù)名,即ExternalInterface.call的第一個(gè)參數(shù)沒有進(jìn)行安全編碼。而函數(shù)名中的部分字符可控,造成xss漏洞。
危害:
1.惡意用戶可以使用該漏洞來(lái)盜取用戶賬戶信息、模擬其他用戶身份登錄,更甚至可以修改網(wǎng)頁(yè)呈現(xiàn)給其他用戶的內(nèi)容。
2.惡意用戶可以使用Flash應(yīng)用的漏洞來(lái)進(jìn)行攻擊,當(dāng)攻擊者誘騙管理員成功點(diǎn)擊后,攻擊者成功可以直接拿到網(wǎng)站的WEBSHELL從而控制整個(gè)網(wǎng)站。
截止目前,官方(http://www.swfupload.org/)沒有針對(duì)此漏洞的修復(fù)補(bǔ)丁。
下面小編給大家整理兩條應(yīng)急方案:
解決一:更換其他上傳flash應(yīng)用
解決二:大家可以點(diǎn)此下載附件,替換站點(diǎn)上的同名文件,下載地址:
下一篇:
版權(quán)聲明: 本站資源均來(lái)自互聯(lián)網(wǎng)或會(huì)員發(fā)布,如果侵犯了您的權(quán)益請(qǐng)與我們聯(lián)系,我們將在24小時(shí)內(nèi)刪除!謝謝!
轉(zhuǎn)載請(qǐng)注明: Swfupload.swf 跨站腳本攻擊漏洞修復(fù)方案