提醒：本文最後更新於 2364 天前，文中所描述的資訊可能已發生改變，請謹慎使用。

大家知道，在不支援以Ajax方式傳送二進位制資料流的瀏覽器中，要實現帶進度的檔案上傳功能，一般需要藉助Flash了（通過type=file表單上傳，加上JS定期向伺服器輪詢也可以得到進度，不過不在本文討論範圍。同樣，ActiveX等方案也不在這裡討論）。除了顯示進度，Flash還能批量新增檔案，限制檔案大小、型別。到現在，Flash實現的檔案上傳在國內仍然算得上主流方案。

但是，幾個月前，幾個常用的第三方Flash上傳元件紛紛被爆出XSS和CSRF漏洞（不知道什麼是XSS/CSRF，以及它們危害的同學請自行搜尋）。問題產生的原因主要有兩類：

一類是Flash裡通過ExternalInterface.call執行JS時，使用了HTML中通過queryString傳遞過來的變數，並且沒對引數進行檢查或過濾，由此引發XSS。我知道有此問題的元件包括：SwfUpload V2.2/V2.5，Uploadify V2.1.4。

另外一類是Flash程式碼裡通過Security.allowDomain('*')，破壞了Flash原本的沙箱安全。使得第三方藉助這個swf檔案獲取token等敏感資訊成為可能，從而引發CSRF攻擊。我知道有此問題的元件有：Plupload V1.5.3。

如果你在專案中使用上述版本的Flash上傳元件，建議儘快採取措施排除風險。對於Uploadify和Plupload來說，官方一直都有更新，推薦直接去官方更新到最新版。對於SwfUpload，官方源已經有2年沒動靜，應該是已經處於無人維護的狀態。如果堅持要用它，建議下載原始碼進行修改。簡單說下修改方法（以V2.2為例，V2.5類似）：安裝

this.movieName = root.loaderInfo.parameters.movieName; //修改為：
this.movieName = root.loaderInfo.parameters.movieName.replace(/[^\w\.-]/g, '');

修改完後，可以用如下格式的引數驗證漏洞是否堵上：

www.example.com/swfupload.swf?movieName=%22])}catch(e){if
 
(!window.x){alert(1);window.x=1}}try{([%22

另外，由於上面提到的Flash上傳元件被廣泛使用，所以大家日常使用的開源web專案也需要排查下，並及時升級。例如，著名的wordpress前不久釋出的新版就解決了這類問題；國內開源Web編輯器KindEditor新版使用的SWFUpload則依舊存在問題。

（本圖不惜洩露我的隱私，留作紀念:)）

--EOF--

發表於 2012-07-22 05:05:21 ，並被新增「 Flash 」標籤 。檢視本文 Markdown 版本 »

提醒：本文最後更新於 2364 天前，文中所描述的資訊可能已發生改變，請謹慎使用。