此FLash接受imglogo参数作为图片地址
未检查该参数的有效性即加载该图片
因此,当imglogo参数指向一个恶意的flash时(比如:乱弹窗的swf),恶意flash也被正常加载,最终地址类似如下:
?VideoIDS=XMzU2MDk0MDQ0&winType=BDskin&embedid=MTI1LjExOS4xNTMuNDQCODkwMjM1MTECAg%3D%3D&wd=&partnerid=XOTcy&&imglogo=http://localhost:8080/flashsec/redirect_evil_url.swf
修复方案:
清理所有传入参数,对所有参数执行初始化操作。
作者 无厘头
,涛涛电脑知识网,涛涛电脑知识网