zoukankan      html  css  js  c++  java
  • crossdomain.xml配置不当的利用和解决办法

    00x1:

    今天在无聊的日站中发现了一个flash小站,点进crossdomain.xml一看,震惊

    本屌看到这个*就发觉事情不对

    百度一下,这是一个老洞,配置不当能引起各种问题就算能远程加载恶意的swf文件,(swf是flash专用后缀文件常用于网页和动画制作,再多本屌也不知道了)

    该洞出现原因和能造成危害有3点:

    1.根本没有配置crossdomain文件

    2.配置了,但是写个*号没有什么用的

    3.造成危害要目标网站有利用价值啊,比如获取敏感信息,邮箱,个人主页等,不像本屌的站,日穿都没啥价值

    4.和其他flash漏洞配合,比如cve-2011-2461等

    所以综上:还是有修复的必要的。

    00x2:

    像本屌这种级别的,一般只能关心关系咋个修复,至于漏洞原理分析啥的,原谅本屌暂时看不懂.

    1.如果在根目录下:

    找到crossdomain.xml文件修改 allow-access-from = * 改成自己的域名,同源策略大家都懂嘛。

    2.如果在诸如webapp目录下非根目录下:

    在flex中需要在初始化中应用

    Security.loadPolicyFile("http:// localhost:8080/xxx /crossdomain.xml")

    xxx为webapp的名字,保证能访问到crossdomain.xml文件

    举一个淘宝修复列子

    具体就算有CDN要把CDN加其,其他按照需求加。

    00x3 REF:

    https://blog.csdn.net/sotower/article/details/45046097

    https://blog.csdn.net/summerhust/article/details/7721627

    https://www.freebuf.com/articles/web/37432.html

     cve-2011-2461漏洞原理分析:http://www.vuln.cn/6128

     

     

  • 相关阅读:
    移动应用滑动屏幕方向判断解决方案,JS判断手势方向
    M1808本地配置IP全过程
    嵌入式板子tftpd交叉编译及使用
    七牛云ARM64交叉编译流程
    记录M1808Ubuntu18.04固定IP配置方案
    so库移植记录
    c++ 动态库的编译
    Linux提示Syntax error: end of file unexpected (expecting "then") 提示错误
    ubuntu18.04设置静态ip
    WebFlux中thymeleaf视图找不到的问题解决
  • 原文地址:https://www.cnblogs.com/lidaye1928/p/10373336.html
Copyright © 2011-2022 走看看