FLASHのアクションスクリプトだけでなく、ファイル自体を扱ったことがありません。

FLASHによるクロスサイトスクリプティングやインジェクション的なことで
気をつけるべきことがあったら教えてください。

以下の2パターンそれぞれについて教えていただけると嬉しいです。
①任意のswfファイルをローカルからWEBで公開した場合の危険性
②他で公開されている任意のswfファイルを<object>タグなどで公開した場合の危険性

回答の条件
  • 1人2回まで
  • 登録:2008/02/05 11:38:07
  • 終了:2008/02/12 11:40:04

回答(2件)

id:tukihatu No.1

牛乳先生(tukihatu)回答回数180ベストアンサー獲得回数322008/02/05 14:50:44

ポイント35pt

①はswfファイルをWEBにupして公開した場合の危険性、ということですか?

結論から言うと、内容によってはどちらも攻撃される危険性があります。なぜならFLASH内でHTML文を使えるからです。だから基本はHTMLと同じです。

アニメーションが動いているだけのFlash自体には①と②の攻撃を加えるのは不可能ですが、

たとえばフォームの入力口があったり、掲示板風に投稿できてDBにつながっていたり等がある場合は、やはりHTMLと同じく注意が必要です。

対処法もHTMLの時と同じで、入力された文字をホワイトリストではじいたり、そのまま生で表示しなくさせたりすればOKです。

と、いうことで

①はその部分を気をつけて作る。

②はできればフォーム入力などの機能があるswfを使わない。

そのほかにも、URL?name=数値 の攻撃(名前忘れましたけど)も有効ですので注意が必要です。

id:yshkw

ありがとうございます。まずはhtmlと同じ部分があるという点がわかりました。

html以上に危険な部分はありますか?

FLASH単体でDBに繋げることができるのでしょうか?

あるいはjavascriptのように、サーバサイドの言語と連携しなければいけないのでしょうか。

またperlやphpのように、サーバ内のファイルを削除したり、

書き換えたりすることができたり、FLASH内のjavascriptが悪さをしたりという部分も教えてください

2008/02/06 06:44:45
id:tukihatu No.2

牛乳先生(tukihatu)回答回数180ベストアンサー獲得回数322008/02/05 15:45:04

ポイント35pt

HTML以上に危険な部分というのはありませんね。HTML機能がないアニメーションだけのFLASHとかは、攻撃するとしたらplayerプラグインを狙った脆弱性インジェクション攻撃しかないんじゃないかと…

Flash単体でDBにつなぐことは現状できなかったと思います。

FlashはJavaScript同様クライアントサイドで動くものなので、サーバサイドのプログラムと組み合わせることが必要です。

ただし、簡易DBならjavascriptと同じぐらいは扱えます。(FLASH+XML等)

サーバの画像を自動に習得する、などのプログラムもつくれます。

サーバ内のファイルなどはFlash単体で書き換えできます。削除もできたと思いますがちょっとわかりません。

ローカルファイルは、FLASH単体じゃ無理だと思います。FLASHの中に自動URLリフレッシュを仕込んでおいて、PHPにアクセスさせるものは作れます。Javascriptと同じですね。

またFlashには、打ち込んだ文字をHTMLとして扱うか否かを設定できる部分があるので、それをOFFにしてしまえば外部のjavascriptは無効化できます。

もしもっと込み入った情報をお探しならここで質問するとはてなよりいいかも知れません。参考までに。

http://www.flash-jp.com/

id:yshkw

まったく闇雲に考えるよりは、「基本的なふるまいがjavascriptと同じ」とひとまず思ってみることにします。

参考サイトありがとうございます。

2008/02/06 06:50:40

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません