zoukankan      html  css  js  c++  java
  • crossdomain.xml配置不当的利用和解决办法

    00x1:

    今天在无聊的日站中发现了一个flash小站,点进crossdomain.xml一看,震惊

    本屌看到这个*就发觉事情不对

    百度一下,这是一个老洞,配置不当能引起各种问题就算能远程加载恶意的swf文件,(swf是flash专用后缀文件常用于网页和动画制作,再多本屌也不知道了)

    该洞出现原因和能造成危害有3点:

    1.根本没有配置crossdomain文件

    2.配置了,但是写个*号没有什么用的

    3.造成危害要目标网站有利用价值啊,比如获取敏感信息,邮箱,个人主页等,不像本屌的站,日穿都没啥价值

    4.和其他flash漏洞配合,比如cve-2011-2461等

    所以综上:还是有修复的必要的。

    00x2:

    像本屌这种级别的,一般只能关心关系咋个修复,至于漏洞原理分析啥的,原谅本屌暂时看不懂.

    1.如果在根目录下:

    找到crossdomain.xml文件修改 allow-access-from = * 改成自己的域名,同源策略大家都懂嘛。

    2.如果在诸如webapp目录下非根目录下:

    在flex中需要在初始化中应用

    Security.loadPolicyFile("http:// localhost:8080/xxx /crossdomain.xml")

    xxx为webapp的名字,保证能访问到crossdomain.xml文件

    举一个淘宝修复列子

    具体就算有CDN要把CDN加其,其他按照需求加。

    00x3 REF:

    https://blog.csdn.net/sotower/article/details/45046097

    https://blog.csdn.net/summerhust/article/details/7721627

    https://www.freebuf.com/articles/web/37432.html

     cve-2011-2461漏洞原理分析:http://www.vuln.cn/6128

     

     

  • 相关阅读:
    八月二十九学习报告
    文本操作
    EL表达式
    注解开发
    逆向
    内置对象和方法
    每日日报2020.11.10 1905
    每日日报2020.11.12 1905
    每日日报2020.11.17 1905
    每日日报2020.11.20 1905
  • 原文地址:https://www.cnblogs.com/lidaye1928/p/10373336.html
Copyright © 2011-2022 走看看