POST TIME:2021-05-24 02:50
描述:目標(biāo)存在跨站腳本攻擊。
1.跨站腳本攻擊就是指惡意攻擊者向網(wǎng)頁(yè)中插入一段惡意代碼,當(dāng)用戶(hù)瀏覽該網(wǎng)頁(yè)時(shí),嵌入到網(wǎng)頁(yè)中的惡意代碼就會(huì)被執(zhí)行。
2.盡管swfupload.swf其對(duì)傳入ExternalInterface.call的第二個(gè)參數(shù)進(jìn)行了安全編碼,但對(duì)于函數(shù)名,即ExternalInterface.call的第一個(gè)參數(shù)沒(méi)有進(jìn)行安全編碼。而函數(shù)名中的部分字符可控,造成xss漏洞。
危害:
1.惡意用戶(hù)可以使用該漏洞來(lái)盜取用戶(hù)賬戶(hù)信息、模擬其他用戶(hù)身份登錄,更甚至可以修改網(wǎng)頁(yè)呈現(xiàn)給其他用戶(hù)的內(nèi)容。
2.惡意用戶(hù)可以使用Flash應(yīng)用的漏洞來(lái)進(jìn)行攻擊,當(dāng)攻擊者誘騙管理員成功點(diǎn)擊后,攻擊者成功可以直接拿到網(wǎng)站的WEBSHELL從而控制整個(gè)網(wǎng)站。
截止目前,官方(http://www.swfupload.org/)沒(méi)有針對(duì)此漏洞的修復(fù)補(bǔ)丁。
下面小編給大家整理兩條應(yīng)急方案:
解決一:更換其他上傳flash應(yīng)用
解決二:大家可以點(diǎn)此下載附件,替換站點(diǎn)上的同名文件,下載地址:https://pan.baidu.com/s/1SbmopKWCffc-MhjcoNoEdQ