【文件上传-配置文件】crossdomain.xml跨域策略配置文件上传

于 2024-09-03 21:47:04 发布
阅读量307 收藏 8
点赞数 3
文章标签: xml 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Cc040909/article/details/141872633
版权

一、0x00 前言

在很多地方都会见查是否跨域

比如某些特定的步骤、CSRF、flash跨域劫持等链接

 

1、Flash
由于HTML语言的功能十分有限,无法达到人们的预期设计,以实现令人耳目一新的动态效果,在这种情况下,各种脚本语言应运而生,使得网页设计更加多样化。然而,程序设计总是不能很好地普及,因为它要求一定的编程能力,而人们更需要一种既简单直观又有功能强大的动画设计工具,而Flash的出现正好满足了这种需求。

​

 

 

2、crossdomain.xml文件

一般在根目录下(在根目录下的配置文件称为“主策略文件”)。

若在根目录不存在主策略文件,则该域将禁止任何第三方域的flash跨域请求

 

3、crossdomain.xml格式 

<?xml version="1.0"?>
 
<cross-domain-policy>
<allow-access-from domain="www.xxx.com" />
</cross-domain-policy>

 其中www.xxx.com是可信任的域名

 

4、crossdomain.xml相关参数

1、site-control标签(属性permitted-cross-domain-policies)

属性值:
none:             不允许使用loadPolicyFile方法加载任何策略文件,包括此主策略文件。
master-only:      只允许使用主策略文件[默认值]。
by-content-type:  只允许使用loadPolicyFile方法加载HTTP/HTTPS协议下Content-Type 为text/x-cross-domain-policy的文件作为跨域策略文件。文章来源地址:https://www.yii666.com/article/504083.html
by-ftp-filename:  只允许使用loadPolicyFile方法加载FTP协议下文件名为crossdomain.xml的文件作为跨域策略文件。
all:              可使用loadPolicyFile方法加载目标域上的任何文件作为跨域策略文件
 
 
示例:
<cross-domain-policy>
<site-control permitted-cross-domain-policies="by-content-type"/>
</cross-domain-policy>

 2、allow-access-from标签 

属性值:
domain:    指定某IP地址、域或通配符域(任何域)
to-ports:  指定允许访问读取本域内容的socket连接端口范围(如to-ports="1100,1120-1125",也可使用通配符(*)表示允许所有端口)
secure:    指明信息是否经加密传输。当crossdomain.xml文件使用https加载时,secure默认设为true
 
 
示例:
<cross-domain-policy>
<allow-access-from domain="*.baidu.com" secure="true" />
</cross-domain-policy>

3、allow-access-from-identity标签

该节点配置跨域访问策略为允许有特定证书的来源跨域访问本域上的资源

<allow-access-from-identity>
<signatory>
<certificate
fingerprint="04:ac:……格式的证书"
fingerprint-algorithm="sha-1"/>
</signatory>
</allow-access-from-identity>

 

4、allow-http-request-headers-from标签

此节点授权第三方域flash向本域发送用户定义的http头

属性值:
domain:     与allow-access-from中的domain相同
headers:    表明允许发送的http头。可用通配符(*)(以逗号隔开的列表)
secure:     与allow-access-from中的secure相同
 
示例:
<cross-domain-policy>
<allow-http-request-headers-from domain="*" headers="*" />
</cross-domain-policy>

三、漏洞利用 

1、方法:

1、找到任意文件上传点(先测试能否getshell)

2、若无法getshell(尝试xss)

3、若无法xss(尝试上传配置文件)

上传配置文件是我们最后的选择

 

2、上传漏洞配置文件

如下crossdomain.xml文件就存在漏洞

(尝试上传存在漏洞配置文件到根目录)

<?xml version="1.0"?>
 
<cross-domain-policy>
<allow-access-from domain="*" />
</cross-domain-policy>

 

派大鑫的工作室
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
crossdomain.xml 文件安全配置 百度云观测、360网站监测 dz论坛crossdomain.xml
leroy17171的博客
04-20 1473
今天用百度云观测监测了网站,提示有安全隐患,于是按照漏洞描述和给出的修复方案,进行修改。在此期间本人也百度、谷歌了一下关于crossdomain.xml 的安全配置资料分享给大家 百度云观测提示如图: 漏洞描述和解决方案: 本人找
crossdomain.xml
09-17
Xcelsius是报表工具,经常会用到读取动态数据,一般通过XML读取时会有 Error #2048错误,这是因为flash安全性限制,把crossdomain.xml放在网站跟目录下即可正常读取!
CrossDomain.xml的作用及其简单用法
热门推荐
Seven's Rainbow Paradise
01-03 4万+
使用crossdomain.xml让Flash可以跨域传输数据 本文来自http://www.mzwu.com/article.asp?id=975 一、概述 位于www.mzwu.com域中的SWF文件要访问www.163.com的文件时,SWF首先会检查163服务器目录下是否有crossdomain.xml文件,如果没有,则访问不成功;若crossdomain.xml文件存在,且里边设置
设置 crossdomain.xml 文件实施 HTTP 流式传输
novelly的专栏
01-01 1902
本文概括介绍了跨域策略文件,以及如何在 Adobe Media Server 中为 HTTP 流式传输配置该文件。 为什么需要采用 crossdomain.xml 文件? 跨域策略文件 跨域策略文件是一种 XML 文档,旨在为 Web 客户端,比如 Adobe Flash Player 或 Adobe Acrobat(但不限于这两类客户端)授予跨域处理数
关于跨域策略文件crossdomain.xml文件
weixin_30537451的博客
07-06 433
下载flexpaper源码修改后做成swf阅读器,要加入待阅读的swf文件,可以在flex里调用js的方法来获取swf文件的路径的方法,在js只专注获取路径就行,等着flex来调用:但这里会遇到一个问题那就是出现安全问题,如下的提示: Error #2044: 未处理的 onDocumentLoadedError:。 text=Error #2048: 安全沙箱冲突:http://loca...
flash跨域策略文件crossdomain.xml配置详解以及防范措施.docx
04-27
总结,Flash 跨域策略文件 crossdomain.xml 是控制 Flash 应用程序跨域访问的关键。正确配置 crossdomain.xml 可以确保数据的安全传输,防止恶意跨域攻击。然而,配置不当可能导致敏感信息泄露或被利用,因此在设置...
webloigc 中设置 flex crossdomain.xml 文件
03-24
总之,`crossdomain.xml`文件是Flex跨域访问的关键,正确配置它能确保WebLogic上的Flex应用与外部资源安全、顺畅地通信。理解其工作原理并根据实际需求调整策略,是保障应用功能和数据安全的重要环节。
ArcGIS server tomcat crossdomain.xml
03-27
当这两个组件结合时,可能会遇到浏览器的同源策略限制,这时候就需要通过`crossdomain.xml`文件来进行跨域配置。 `crossdomain.xml`文件是Adobe Flash Player和某些浏览器遵循的一种安全机制,用于允许特定的跨域...
crossdomain.xml文件
nate的专栏
05-18 6758
当使用WWW访问Web服务时,安全策略会阻止跨域的请求访问,会返回类似“Rejected because no crossdomain.xml policy file was found”等错误信息。 解决办法:为提供Web服务的目录配置安全策略文件,即crossdomain.xml(还有人提过添加一个Web代理服务的解决办法,但相比较配置安全策略文件这种方法会更简单一些)。 crossdom
flash跨域策略文件crossdomain.xml配置详解
chen8511的专栏
08-19 844
flash在跨域时唯一的限制策略就是crossdomain.xml文件,该文件限制了flash是否可以跨域读写数据以及允许从什么地方跨域读写数据。 位于www.a.com域中的SWF文件要访问www.b.com的文件时,SWF首先会检查www.b.com服务器目录下是否有crossdomain.xml文件,如果没有,则访问不成功;若crossdomain.xml文件存在,且里边设置了允许
跨域策略文件crossdomain.xml文件
qq_42527761的博客
08-04 6809
文件简介配置规则cross-domain-policy元素site-controlallow-access-fromallow-access-from-identityallow-http-request-headers-from匹配规则文件范例 今天在看xray扫描出来的漏洞报告,如下图: 看到这个敏感信息泄露的报告后,开始重新试验了一下,发现确实存在。 <?xml version="1.0"?> <!DOCTYPE cross-domain-policy SYSTEM "ht.
crossdomain.xml配置详解
lqlscn的博客
11-17 2563
https://www.cnblogs.com/kabi/p/5594548.html 目录 1 简介 2 crossdomain.xml配置详解 3 总结 1 简介 flash在跨域时唯一的限制策略就是crossdomain.xml文件,该文件限制了flash是否可以跨域读写数据以及允许从什么地方跨域读写数据。 位于www.a.com域中的SWF文件要访问www.b.com的文件时,SWF首先会检查www.b.com服务器目录下是否有crossdomain.xml文件,如果没有,则访问不成功;若cros
Cross-domain policy和/WEB-INF/flex/proxy-config.xml
buasgf
07-01 111
  从flash 7开始,不同域名的资源访问受到限制,比如a.com上有一个movie浏览器要浏览b.com中的movie资源,就需要在b.com的根目录下有一个crossdomain.xml以允许a.com的访问,内容大致为 如果没有权限在b.com的根目录下放置文件也可以设置HTTPService中的useProxy属性为true HTTPService id="srv" ...
跨域策略文件crossdomain.xml配置方法
蝈蝈的博客
12-06 4万+
一、crossdomain.xml文件的作用    跨域,顾名思义就是需要的资源不在自己的域服务器上,需要访问其他域服务器。跨域策略文件是一个xml文档文件,主要是为web客户端(如Adobe Flash Player等)设置跨域处理数据的权限。打个比方说,公司A部门有一台公共的电脑,里面存放着一些资料文件,专门供A部门内成员自己使用,这样,A部门内的员工就可以访问该电脑,其他部门人员则不允许访问。
Crossdomain.xml
liudaoru - 悟
09-19 114
Adobe Flash 播放器可以创建从公共服务和APIS上加载数据的应用。Flash可以依据一个许可规则(许可来自与服务器)来加载跨域的数据,这种方式是通过在服务器上放置一个名称为crossdomain.xml的文件来区分哪些flash可以访问其服务。 ---------------------------------- From:http://www.crossdomainxml.org/ A...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值