`
sjkgxf7191
  • 浏览: 257888 次
  • 性别: Icon_minigender_1
  • 来自: 上海
社区版块
存档分类
最新评论

安全沙箱(一):概述

阅读更多

术语:

资源发布者 (Resource Distributor ):

提供一个给定资源的一方。通常是一个服务器操作者 ,诸如一个网站管理员或套接字服务器管理员

 

资源创建者 (Resource Creator ):

真正创建资源的一方。对于.swf文件,资源创建者是编译.swf的ActionScript开发人员

 

用户 (User):

Flash Player运行的计算机的用户。

 

安全沙箱类型:

可通过 flash.system.Security.sandboxType 获取其值

  • remote:来自远程范围的所有.swf
  • local-with-filesystem
  • local-with-networking
  • local-trusted

安全沙箱类型可能禁止的外部操作类型:

  • 本地内容
  • 内容作为数据访问
  • 交叉脚本控制
  • 装载数据
  • 连接一个套接字
  • 发送数据到一个外部的URL
  • 访问用户的相机和麦克风
  • 访问本地共享的对象
  • 上传或下载由用户选择的文件
  • 通过一个.swf文件脚本控制一个HTML页面,反之亦然
  • 连接一个LocalConnection频道

限制范围:

内容装载 : 可以使用 LoaderSound NetStream 等这样一些类来加载内容

 

内容作为数据访问 :(读取一个内容资源的内部信息,例如,读取一张位图的像素 或者一段音频 )可以通过使用 Bitmap 对象、BitmapData.draw() 方法、Sound.id3 属性或者 SoundMixer.computeSpectrum()
法从加载的媒体内容中提取数据

 

交叉脚本控制

 

数据装载 :可以从使用 URLStreamURLLoaderSocket XMLSocket 等类加载的外部文件 (如 XML 文件)中直
接访问数据

 

限定策略:

 

创建者允许 :一个.swf文件含有对恰当的Security 类的静态方法allowDomain ()的调用。

所有者允许 :意味着发布者使得恰当的跨域名政策文件可用

 

remote 安全沙箱


 

local-with-filesystem 安全沙箱


 

local-with-networking 安全沙箱


 

local-trusted 安全沙箱


 

套接字安全:

本地沙箱


 

远程沙箱


  • 大小: 10.7 KB
  • 大小: 13.6 KB
  • 大小: 66.7 KB
  • 大小: 40.4 KB
  • 大小: 40.2 KB
  • 大小: 31.1 KB
  • 大小: 52.3 KB
  • 大小: 40.3 KB
  • 大小: 48.2 KB
  • 大小: 53.6 KB
  • 大小: 23.9 KB
  • 大小: 25 KB
分享到:
评论

相关推荐

    FLEX安全沙箱实用指南

    #### 二、FLEX安全沙箱概述 FLEX安全沙箱是一种用于控制和限制不同来源的FLEX应用程序之间的交互的安全机制。它主要通过定义一系列的安全策略来实现对不同域之间资源访问权限的管理。FLEX安全沙箱主要包括以下几个...

    云原生沙箱环境技术概述.pdf

    - **教育与培训**:教育机构和培训中心可以使用沙箱环境为学生提供一个安全的实验平台,用于学习和掌握云原生技术。 最后,通过一系列的教程和示例,沙箱环境旨在帮助开发者更好地理解如何利用云原生技术,实现业务...

    基于沙箱的Java安全体系结构

    Java的安全沙箱机制是确保Java应用程序能够在不损害系统安全的前提下运行的重要保障。本文将详细介绍Java沙箱模型的核心组成部分,并深入探讨类装载器、类文件校验器的作用及其在Java安全体系中的地位。 #### Java...

    云原生沙箱环境技术概述.pptx

    它提供了一个隔离的、安全的开发环境,允许开发者在不影响生产系统的情况下进行实验、技术预研和快速原型构建。通过Sandbox,开发者可以: 1. **快速启动开发**:基于Java的沙箱环境特别适合微服务业务开发,提供了...

    flex 沙箱安全问题

    为了确保网络通信的安全性,Flash Player和Flex采用了一种称为“沙箱”的安全模型来限制不同来源的应用程序之间相互访问的能力。这种模型的核心是基于跨域策略文件(Cross-Domain Policy File),即**crossdomain....

    逃逸IE浏览器沙箱-在野0Day漏洞利用复现

    标题中的“逃逸IE浏览器沙箱-在野0Day漏洞利用复现”指的是针对Internet Explorer(IE)浏览器的安全研究,特别是关于如何利用未公开(0Day)漏洞来突破浏览器的安全沙箱机制。沙箱是一种安全措施,它限制了恶意代码...

    深度学习数据窃取攻击在数据沙箱模式下的威胁分析与防御方法研究.docx

    数据沙箱模式作为一种平衡隐私保护与数据利用的技术方案,在保障数据安全的同时,促进了数据的价值释放。然而,随着深度学习技术的进步,特别是模型的复杂性和数据存储能力的增强,数据窃取攻击成为了新的挑战。本文...

    计算机病毒沙箱分析的优势和挑战_Malware_Sandbox_Overview,_Advantage_and_Chall

    计算机病毒沙箱分析是网络安全领域中的一个重要工具,用于检测和分析恶意软件的行为。沙箱(Sandbox)技术的优势在于提供了一个隔离的环境,允许潜在的恶意程序在不影响真实系统的情况下运行,从而研究其行为模式,...

    现代浏览器新安全研究.zip

    一、浏览器安全威胁概述 1. 跨站脚本攻击(XSS):攻击者通过注入恶意脚本到网页中,使得用户在不知情的情况下执行,可能导致敏感信息泄露。 2. 跨站请求伪造(CSRF):攻击者利用用户的登录状态,发起伪装成用户...

    移动应用安全测试基础以及技能分享-杨凯仁.pdf

    #### 一、移动应用安全概述 随着移动互联网的快速发展,移动应用已经成为人们日常生活中不可或缺的一部分。然而,随之而来的安全问题也越来越受到关注。为了保护用户数据安全、隐私安全以及业务安全,移动应用的...

    Fortinet云安全自动化技术概述.pdf

    Fortinet云安全自动化技术是针对现代企业不断演进的云环境而设计的一种解决方案。它旨在通过自动化的方式提升云基础架构的安全性,确保在混合云环境中的数据和应用得到全面保护。以下是对该技术的详细解析: 1. **...

    PROGRAMMING ACTIONSCRIPT 3.0

    - **安全沙箱**:详细说明了Flash Player如何使用安全沙箱来限制脚本的执行范围。 - **网络API限制**:讲解了如何限制网络API的使用,以防止未经授权的网络访问。 - **示例**:提供了一个设置LocalConnection权限的...

    149-海盒数据沙箱产品解决方案-标准.pdf

    综上所述,海盒数据沙箱系统是一款高度集成、安全可靠的数据分析探索平台,它不仅解决了数据汇聚和管理中的关键问题,还提供了强大的技术支持和灵活的应用场景,是企业进行数据挖掘和价值创造的重要工具。

    chromium浏览器安全机制

    Chromium被分为两个主要模块:一个是浏览器内核,代表用户执行操作;另一个是渲染引擎,代表“网页”运行。这两个模块分别在不同的保护域中运行,通过沙箱机制限制渲染引擎的权限,从而有效减轻高风险攻击带来的威胁...

    安全技术学习路线图_pro

    【安全技术学习路线图_pro】概述 安全技术学习是一条漫长而深奥的道路,涉及到多个领域,包括网络、操作系统、密码学、应用安全等。本文将根据提供的标签和部分内容,详细解析安全技术学习的主要知识点。 一、基础...

    java教程 第一课 概述

    ### Java教程第一课知识点概述 #### 一、Java语言简介 Java是由Sun Microsystems公司于1995年推出的一种高级编程语言,其设计目标是为了适应网络计算环境的需求,特别是万维网的应用。Java语言的核心特点是“一次...

    容器安全与隔离机制.pptx

    4. **容器安全沙箱**: - **seccomp**:通过限制系统调用来增强容器安全性,减少攻击面。 - **AppArmor**:基于白名单的访问控制机制,只允许容器执行经过批准的操作。 - **SELinux**:多级安全机制,通过标签...

    钓鱼邮件自动化分析流程.docx

    钓鱼邮件自动化分析是网络安全领域中一项重要的技术,用于检测和防范网络钓鱼攻击。在现代的IT环境中,钓鱼邮件已经成为黑客发起社会工程攻击的主要手段之一,它们伪装成合法机构或个人,诱骗用户泄露敏感信息,如...

Global site tag (gtag.js) - Google Analytics