swf, 跨站, 跨站脚本攻击, 脚本, 攻击
描述:目标存在跨站脚本攻击。 1.跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意具体代码如下,当用户浏览该网页时,嵌入到网页中的恶意具体代码如下就会被执行。 2.尽管swfupload.swf其对传入ExternalInterface.call的第二个参数进行了安全编码,但对于函数名,即ExternalInterface.call的第一个参数没有进行安全编码。 而函数名中的部分字符可控,造成xss漏洞。 危害:1.恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录,更甚至可以修改网页呈现给其他用户的内容。 2.恶意用户可以使用Flash应用的漏洞来进行攻击,当攻击者诱骗管理员成功点击后,攻击者成功可以直接拿到网站站点的WEBSHELL从而控制整个网站站点。 截止目前,官方(http://www.swfupload.org/)没有针对此漏洞的修复补丁。 下面小编给大驾整理两条应急方案:解决一:更换其他名站分类目录flash应用解决二:大驾可以点此名站网址导航提供,替换站点上的同名文件,下载地址:https://pan.baidu.com/s/1SbmopKWCffc-MhjcoNoEdQ 脚本 , 漏洞 , 修复 |
dede(织梦)不能下载远程图片实现图片本地化解决方案