摘要:
前段时间测试人员报了一个flash的xss bug,经分析用了Loader.loadBytes且没做数据流格式校验的程序都会中招,自测方法只需一行代码:ExternalInterface.call('alert', ‘msg from flash’); 编译后把后缀名改为jpg或png等图片格式,去新浪微博主站选择第一种图片上传方式…… 虽然用户一般不会上传来历不明的图片,但是本着好奇心还是搞了一下怎么防止。用Flash的FileReference的type判断文件格式很原始,真的只是从文件的后缀名判断的,所以改了后缀很明显会有问题…… 解决方法只能是读取数据流里面真实的格式. 阅读全文
