http://static.youku.com/v1.0.0245/v/swf/loader.swf此FLash接受imglogo参数作为图片地址 未检查该参数的有效性即加载该图片 因此,当imglogo参数指向一个恶意的flash时(比如:乱弹窗的swf),恶意flash也被正常加载,最终地址类似如下: http://static.youku.com/v1.0.0245/v/swf/loader.swf?VideoIDS=XMzU2MDk0MDQ0&winType=BDskin&embedid=MTI1LjExOS4xNTMuNDQCODkwMjM1MTECAg%3D%3D&wd=&partnerid=XOTcy&&imglogo=http://localhost:8080/flashsec/redirect_evil_url.swf 修复方案: 清理所有传入参数,对所有参数执行初始化操作。 作者 无厘头
查看更多关于优酷SWF未清理参数,参数注入导致恶意弹窗 - 网的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did13929