Discuz!官方免费开源建站系统

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索

[不是BUG] 关于 Flash 挂马的解决方法

[复制链接]
幸福摩天轮 发表于 2009-12-8 12:09:21 | 显示全部楼层 |阅读模式
本帖最后由 幸福摩天轮 于 2009-12-8 12:11 编辑

最近大家都看到了这篇文章,让大多数站长感到了恐慌。然而这有一个无法逃避的问题。flash 是一个流行已久的东东,他给我们带来的方便和惊喜已经不言而喻。
但是好东西用的久了,研究的人多了,关于利用她来做一些不好事情的做法就多了起来,早在 UCHOME 1.5 版本,我们就发现了这个flash这个让人又爱又恨的地方,2.0 版本已经去掉了随便看看的首页flash幻灯片(虽然图片是可以人为控制)。
我们看一下入侵的原理,文章来自:http://www.phpchina.com/html/24/n-35324.html,有兴趣的可以详细看一下。
我们大概的说一下,在写日志和话题的时候,我们可以插入flash 动画,如:
  1. [flash]http://wwww.xxxx.xxxx/xxxx.swf[/flash]
复制代码
这段代码在发布的时候,经过解析,生成 flash 标准代码并显示,因为系统不能做到分析 flash 文件,更不能解析到 flash 中的代码,所以当有恶意的flash经过上传之后,引起了一些不好的影响。


下面就说一下 2.0 版本中插入flash 的地方:

flash 在调用 javascript 脚本的地方有一个控制的参数:
  1. <PARAM NAME="AllowScriptAccess" VALUE="">
复制代码
这里的 value 有三个数值:

  1. always 默认值,可以和 html 页面进行通信。
  2. sameDomain 当 SWF 文件和 HTML 页是同一个域名下,才可以通信
  3. never 用了这个就会禁止flash与网页脚本进行通信
复制代码
我们知道了这些,就做一下设置吧:
找到 source/function_blog.php, 403 行左右:
  1. <param name="allowscriptaccess" value="always">
  2.                         <embed src="'.$swf_url.'" type="application/x-shockwave-flash" width="'.$width.'" height="'.$height.'" allowfullscreen="true" allowscriptaccess="always"></embed>
复制代码
修改为:
  1. <param name="allowscriptaccess" value="sameDomain">
  2.                         <embed src="'.$swf_url.'" type="application/x-shockwave-flash" width="'.$width.'" height="'.$height.'" allowfullscreen="true" allowscriptaccess="sameDomain"></embed>
复制代码
或许有人要问,这样修改有什么影响没有呢?
因为 flash 想要执行 javascript ,  因为 uchome 本身没有为外来 flash 定义任何 script ,所以flash只能调用系统的函数,比如打开页面,提示消息等等。基于这些,对用户的体验影响并不是很大。
另外十分感谢“一文天”提供病毒 flash 测试,并提供思路。
rongame 发表于 2009-12-8 15:25:32 | 显示全部楼层
沙发,第一次
回复

使用道具 举报

rongame 发表于 2009-12-8 15:32:48 | 显示全部楼层
HOHO,刚知道的时候真的吓了一跳。后来又想了想,觉得自己有点大惊小怪。
不过官方的回复确实是很快的啊。
回复

使用道具 举报

oimmnet 发表于 2009-12-8 16:58:19 | 显示全部楼层
挂马确实很可怕~~~~~~
回复

使用道具 举报

mrsaner 发表于 2009-12-18 19:14:25 | 显示全部楼层
希望官方出一个统一的补丁包呀!
回复

使用道具 举报

Discuz8.0 发表于 2010-4-28 00:06:24 | 显示全部楼层
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2024-11-16 18:33 , Processed in 0.027546 second(s), 4 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表