360网站安全检测Discuz论坛出现Flash配置不当漏洞警告的处理办法

最近出现360网站安全检测Discuz论坛出现Flash配置不当漏洞警告，该漏洞可被用来进行跨域访问，可能会导致“跨站点伪造请求”或“跨站点跟踪”（“跨站点脚本编制”的变体）之类的攻击，从而导致其它用户的信息被非法读取。还有WooYun上也说了Discuz!x2.5某处存储xss跨站脚本攻击的漏洞，这个BUG已经及时反馈给discuz官方技术了，bug也已经收集再修复了。

漏洞证据:给出的解决：修改flash安全策略，做严格限制，比如限制到网站当前域Flash配置不当漏洞 WASC Threat Classification flash在跨域时唯一的限制策略就是crossdomain.xml文件，该文件限制了flash是否可以跨域读写数据以及允许从什么地方跨域读写数据。
位于 www.discuzlab.com 域中的SWF文件要访问 www.b.com 的文件时，SWF首先会检查www.b.com 服务器目录下是否有crossdomain.xml文件，如果没有，则访问不成功；若crossdomain.xml文件存在，且里边设置了允许www.discuzlab.com 域访问，那么通信正常。所以要使Flash可以跨域传输数据，其关键就是crossdomain.xml。

自flash 10以后，如有跨域访问需求，必须在目标域的根目录下放置crossdomain.xml文件，且该根目录下的配置文件称为“主策略文件”。若不存在主策略文件，则该域将禁止任何第三方域的flash跨域请求。

主策略文件对全站的跨域访问起控制作用。

也可以单独在某路径下放置仅对该路径及其子路径生效的crossdomain.xml配置文件，这需要在flash的AS脚本中使用如下语句来加载该配置文件：[具体的加载权限限制，将受后文中site-control策略的影响]

1）allow-access-from标签的domain属性检测：domain属性应根据最小化原则按需设置，仅允许可信任的来源跨域请求本域内容。禁止将该属性值设置为“*”。

2）allow-http-request-headers-from标签的domain属性检测：domain属性应根据最小化原则按需设置，仅允许可信任的来源向本域跨域发送内容。禁止将该属性值设置为“*”。

3） site-control标签的permitted-cross-domain-policies属性检测：根据业务的实际需求及可行性，对该属性做相应设置。禁止将该属性值设置为“all”。