在日常的互联网应用安全审计中,两款看似普通的Flash组件却常被黑客用作突破口。对渗透测试人员来说,ZeroClipboard.swf和Swfupload.swf几乎成了跨站脚本攻击中反复出现的点位,其潜在风险不容忽视。两者功能不同,但在核心实现上暴露出相似的问题:参数缺乏充分校验。ZeroClipboard.swf主要用于网页复制,Swfupload.swf用于文件上传处理,表面是常见功能,实际都存在输入验证不足带来的安全隐患。
网络安全往往不是被“新技术”击穿,而是被“旧遗留”拖累;对仍在运行的历史组件与通用资源文件,既要以更高效率把风险找出来,也要以更系统的方法把治理做下去。尽快完成存量技术栈的清理替换、建立常态化的组件安全管理机制——才能把看不见的入口关上——把可持续的安全能力立起来。