1

我发现了一些类似的动作脚本代码:

var s:Sound = new Sound(); 
s.addEventListener(Event.COMPLETE, onSoundLoaded); 
var req:URLRequest = new URLRequest(XX_EXTERNAL_URL); 
s.load(req);

在这种情况下,攻击者可以控制XX_EXTERNAL_URL,这是否易受攻击?

4

1 回答 1

0

很可能它只会产生声音转换错误或垃圾声音,而不会对 SWF 播放器或系统产生任何额外影响。需要在声音代码中存在导致代码注入或数据损坏的错误才能使攻击成功。但是,使用预定义的Sound对象代码,它要么存在要么不存在,因此如果您从其他地方加载声音,它不会更容易受到攻击。

于 2013-03-21T06:37:35.213 回答