hel*_*der 5 security flash actionscript-3
我有一个情况,我的主SWF文件加载许多外部SWF文件.但是,这些外部SWF文件只是位于Web服务器的公用文件夹中.
是否可以将SWF可见性限制为仅我的主SWF文件(加载外部SWF的文件).在当前状态下,谁知道在哪里看只需键入URL,并获得了主权财富基金,更不用提那些不遵守robots.txt的流氓漫游的任何用户.
原因很简单.用户使用用户名/密码登录主Flash应用程序,主Flash应用程序依次加载SWF文件,然后只有用户可以使用它们.此外,根据登录用户的身份,某些SWF文件受到限制而未加载.
谢谢你的帮助!
这取决于闪存如何进行身份验证。Flash 需要使用数据库对服务器端应用程序进行身份验证。然后,服务器端应用程序可以使用数据库来基于每个文件执行访问控制。
所有这些都files应该由一个表来跟踪,包含诸如path文件本地以及user_group或者可能是user_id. user_id经过身份验证的会话应在使用用户名和密码登录后跟踪他们。
攻击蜘蛛通常会使用 robots.txt 来攻击您,如果您将这些文件路径放入 robots.txt 中,您最好将它们压缩并提供给攻击者。
反编译Flash应用程序并对其进行修改非常容易。不要依赖“客户端”安全系统,它们很容易被绕过。攻击者还可以使用 tamperdata 重放和修改 HTTP 请求。您需要一个服务器来告诉客户端它可以访问哪些文件。