人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

FLASHのアクションスクリプトだけでなく、ファイル自体を扱ったことがありません。
FLASHによるクロスサイトスクリプティングやインジェクション的なことで
気をつけるべきことがあったら教えてください。

以下の2パターンそれぞれについて教えていただけると嬉しいです。
?任意のswfファイルをローカルからWEBで公開した場合の危険性
?他で公開されている任意のswfファイルを<object>タグなどで公開した場合の危険性


●質問者: yshkw
●カテゴリ:コンピュータ ウェブ制作
✍キーワード:Flash swf Web アクション クロスサイトスクリプティング
○ 状態 :終了
└ 回答数 : 2/2件

▽最新の回答へ

1 ● 牛乳先生(tukihatu)
●35ポイント

?はswfファイルをWEBにupして公開した場合の危険性、ということですか?

結論から言うと、内容によってはどちらも攻撃される危険性があります。なぜならFLASH内でHTML文を使えるからです。だから基本はHTMLと同じです。

アニメーションが動いているだけのFlash自体には?と?の攻撃を加えるのは不可能ですが、

たとえばフォームの入力口があったり、掲示板風に投稿できてDBにつながっていたり等がある場合は、やはりHTMLと同じく注意が必要です。

対処法もHTMLの時と同じで、入力された文字をホワイトリストではじいたり、そのまま生で表示しなくさせたりすればOKです。

と、いうことで

?はその部分を気をつけて作る。

?はできればフォーム入力などの機能があるswfを使わない。

そのほかにも、URL?name=数値 の攻撃(名前忘れましたけど)も有効ですので注意が必要です。

◎質問者からの返答

ありがとうございます。まずはhtmlと同じ部分があるという点がわかりました。

html以上に危険な部分はありますか?

FLASH単体でDBに繋げることができるのでしょうか?

あるいはjavascriptのように、サーバサイドの言語と連携しなければいけないのでしょうか。

またperlやphpのように、サーバ内のファイルを削除したり、

書き換えたりすることができたり、FLASH内のjavascriptが悪さをしたりという部分も教えてください


2 ● 牛乳先生(tukihatu)
●35ポイント

HTML以上に危険な部分というのはありませんね。HTML機能がないアニメーションだけのFLASHとかは、攻撃するとしたらplayerプラグインを狙った脆弱性インジェクション攻撃しかないんじゃないかと…

Flash単体でDBにつなぐことは現状できなかったと思います。

FlashはJavaScript同様クライアントサイドで動くものなので、サーバサイドのプログラムと組み合わせることが必要です。

ただし、簡易DBならjavascriptと同じぐらいは扱えます。(FLASH+XML等)

サーバの画像を自動に習得する、などのプログラムもつくれます。

サーバ内のファイルなどはFlash単体で書き換えできます。削除もできたと思いますがちょっとわかりません。

ローカルファイルは、FLASH単体じゃ無理だと思います。FLASHの中に自動URLリフレッシュを仕込んでおいて、PHPにアクセスさせるものは作れます。Javascriptと同じですね。

またFlashには、打ち込んだ文字をHTMLとして扱うか否かを設定できる部分があるので、それをOFFにしてしまえば外部のjavascriptは無効化できます。

もしもっと込み入った情報をお探しならここで質問するとはてなよりいいかも知れません。参考までに。

http://www.flash-jp.com/

◎質問者からの返答

まったく闇雲に考えるよりは、「基本的なふるまいがjavascriptと同じ」とひとまず思ってみることにします。

参考サイトありがとうございます。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ