Megkerülve javascript szűri a flash! támadás
bevezetés
Web-alapú alkalmazások és Cross Site Scripting
Megelőzése Cross Site Scripting támadások
Flash! támadás
Sérülékeny erőforrások és mintaprogramok
módja, hogy megakadályozzák
Demo eyeonsecurity.org
referenciák
köszönöm
Web-alapú alkalmazások és Cross Site Scripting
Megelőzése Cross Site Scripting támadások
- Módszerek jelenleg használt
Annak érdekében, hogy a biztonsági webalkalmazások fejlesztők használják a három megközelítést, hogy megakadályozzák XSS támadások:
- Elutasított minden Htlm kódot a felhasználó által bevitt
- Megengedhető csak néhány tag. Ezt általában úgy érjük el speciális kódokat, hogy az alkalmazás helyettesíti a megfelelő kódot címkék
- Szűrt vagy törölte az összes script elemet a HTML kód
Vannak internetes alkalmazások, amelyek lehetővé teszik, hogy közzé az interneten Flash animációkat, mint a deviantART, vagy egyszerűen csak feltölteni Flash tárolására videót, mint az FTP oldalakon.
Ez a dokumentum leírja, hogy mennyire könnyű Obote szűrési hiba miatt a tervezés webes alkalmazások. Ez a hiba az, hogy a Flash animációk egyaránt vonatkozik a védett tartalmak. A tartalom nem képes a hatóanyagokat tartalmazó.
Flash! támadás
Sérülékeny erőforrások és mintaprogramok
Alul van egy screenshot mutatja ezt a gondolatot:
deviantART említettük lehetővé teszi a felhasználók feltölteni Flash-fájlok, hogy mindenki láthassa. Természetesen, a támadó egy új számlát, helyezzen egy rosszindulatú Flash-fájlt, és megragadják a számlák a többi felhasználó, és még fiókrendszergazdaként. Nem adunk konkrét példákat támadásokat.
Népszerű fórumok Ikonboard motorok és YaBB [12] különösen ki vannak téve ennek a támadásnak. Ezek a fórumok használatát teszi lehetővé az egyedi címkéket [Flash], átalakított kérelmet a megfelelő címke
Ez a sztring alakítjuk a kérelem az alábbi kódot:
módja, hogy megakadályozzák
Egyszerű megoldás: Tiltják forgalomba Flash-fájlokat a webhelyen.
Azonban a legtöbb esetben ez nem olyan egyszerű. Vegyük például az ügy DeviantART. Az erőforrás Flash animáció szerves része a tartalom. Nem tudnak egyszerűen megtagadják használni Flash.
Lehetséges megoldások:
Macromedia (fejlesztők Flash Player)
Macromedia és EyeonSecurity dolgoztak együtt, hogy megoldást találjanak a webfejlesztők számára. Azt javasolták, hogy web- tervezők magatartásának megváltoztatására helyezik html oldal Flash tartalmat. Ez a megoldás alkalmas a nyilvánosságra hozatalra a fórumokon és hasonló oldalakon, de úgy tervezték, hogy ne deformálja / szünet bármely meglévő animált Flash mozi.
Web-tervezők és a web-fejlesztők
A kódex ezt a példát kiiktatja nyújtott védelmet korábban már említettük, Nem getURL ( "JavaScipt: bármi). Ezen kívül van egy másik, talán még helytálló, a határozat -, hogy különböző területeken a tárolásra és megjeleníteni a Flash-henger. Ez a módszer is használható, hogy a rendelkezésre álló aktív tartalmak és egyéb dokumentumok, mint például a HTML fájlokat. Ez azt jelenti, hogy ha a domain securewebapplication.com, akkor tárolja a potenciálisan veszélyes tartalmat securewebapplication.net. Természetesen ez azt jelenti, hogy a tartalom nem securewebapplication.net hitelesítést kell szolgálja útján ülés, így elérhető, hogy a névtelen felhasználók. Fontos, hogy a potenciálisan veszélyes tartalmat csak akkor jelenik meg a „méregteleníteni domain”, ami azt jelenti, hogy ha a Flash dokumentum tartalmazza a HTML fájlt, és a HTML fájlt is, hogy megjelenik a „semlegesített” domain.