DZ的Flash配置不当漏洞修复方案

放飞

发现时间：

    2012-07-11

漏洞类型：

    配置错误

所属建站程序：

所属服务器类型：

所属编程语言：

描述：

    目标存在Flash配置不当漏洞

    1.Flash配置不当导致其它用户可以跨域访问其它的信息
    - 收起

    2.Flash安全策略配置，形如：



     //此处配置成全域，即允许任意域访问，导致跨域访问漏洞

危害：

    可被用来进行跨域访问，可能会导致“跨站点伪造请求”或“跨站点跟踪”（“跨站点脚本编制”的变体）之类的攻击，从而导致其它用户的信息被非法读取。

解决方案：

    方案1. 修改flash安全策略，做严格限制，比如限制到网站当前域。

    方案2. 修改crossdomain.xml文件，感谢站长 wangzongche 提供以下解决方案
    找到DZ安装根目录下的crossdomain.xml文件，找到代码：
    cross-domain-policy allow-access-from domain=* cross-domain-policy
    改成：
    cross-domain-policy allow-access-from domain= 改成你的网站地址 cross-domain-policy
    具体方法如下图：