crossdomain.xml配置不当的利用和解决办法

最新推荐文章于 2024-04-08 15:13:54 发布
最新推荐文章于 2024-04-08 15:13:54 发布
阅读量2.4k 收藏
点赞数
原文链接:http://www.cnblogs.com/lidaye1928/p/10373336.html
版权

00x1:

今天在无聊的日站中发现了一个flash小站,点进crossdomain.xml一看,震惊

本屌看到这个*就发觉事情不对

百度一下,这是一个老洞,配置不当能引起各种问题就算能远程加载恶意的swf文件,(swf是flash专用后缀文件常用于网页和动画制作,再多本屌也不知道了)

该洞出现原因和能造成危害有3点:

1.根本没有配置crossdomain文件

2.配置了,但是写个*号没有什么用的

3.造成危害要目标网站有利用价值啊,比如获取敏感信息,邮箱,个人主页等,不像本屌的站,日穿都没啥价值

4.和其他flash漏洞配合,比如cve-2011-2461等

所以综上:还是有修复的必要的。

00x2:

像本屌这种级别的,一般只能关心关系咋个修复,至于漏洞原理分析啥的,原谅本屌暂时看不懂.

1.如果在根目录下:

找到crossdomain.xml文件修改 allow-access-from = * 改成自己的域名,同源策略大家都懂嘛。

2.如果在诸如webapp目录下非根目录下:

在flex中需要在初始化中应用

Security.loadPolicyFile("http:// localhost:8080/xxx /crossdomain.xml")

xxx为webapp的名字,保证能访问到crossdomain.xml文件

举一个淘宝修复列子

具体就算有CDN要把CDN加其,其他按照需求加。

00x3 REF:

https://blog.csdn.net/sotower/article/details/45046097

https://blog.csdn.net/summerhust/article/details/7721627

https://www.freebuf.com/articles/web/37432.html

 cve-2011-2461漏洞原理分析:http://www.vuln.cn/6128

 

 

 

转载于:https://www.cnblogs.com/lidaye1928/p/10373336.html

weixin_30794499
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
flash跨域策略文件crossdomain.xml配置详解以及防范措施.docx
04-27
flash跨域访问策略。渗透测试时检查crossdomain.xml配置信息,应当重点检查allow-access-from=*、allow-http-request-headers-from=*、site-control=allow将会导致漏洞。特别注意参数为*和all,当站内没有crossdomain.xml时将不允许flash跨域访问。不会导致漏洞
由crossdomain.xml安全策略文件引发的一些列安全问题
哎咿呀
04-14 7526
这是一起由crossdomain.xml安全策略文件引发的思考,不是馒头,也不是血案!!初识是在几年前刚接触Flex的时候,那会懵懵懂懂的解决问题,到如今与其打交道不计其数,这个大问题小问题都能轻松搞定,就是这样惬意的阳光午后,我高高兴兴的写着代码,排着工期,整理文档,计划着今天又可以回家吃饭的时候,收到一封邮件,一封关于部署在都快被忘记的服务器上的flash跨域安全漏洞,要求紧急修复。 擦,w
如何消除网站安全的七大风险
闷骚的男
05-23 965
以工作中某项目的安全改善过程为例,分享了常用网站安全性的典型问题和解决对策,希望对网站开发者有借鉴意义。 有过网站开发经验的朋友都知道网站安全是构建网站时必须要考虑的一个因素,网站安全的重点在于服务器安全配置管理以及程序脚本的完善性。值得注意的是,如果服务器的账号和权限由于管理不善而泄露了,即使技术上网站系统再安全,也不可避免会受到攻击。 在笔者曾经参与过的
java crossdomin.xml_crossdomain.xml文件配置不当利用手法
weixin_34486033的博客
02-16 1237
‍不恰当的crossdomain.xml配置对存放了敏感信息的域来说是具有很大风险的。可能导致敏感信息被窃取和请求伪造。攻击者不仅仅可以发送请求,还可以读取服务器返回的信息。这意味着攻击者可以获得已登录用户可以访问的任意信息,甚至获得anti-csrf token。‍追溯历史:这是一个很古老的漏洞了。有多老呢,已经有8年了。在计算机领域,8年真的很长很长了。下面是一个粗略的crossdomian....
crossdomain.xml
09-03
crossdomain.xml用于unity3d生成的webplayer不能读取数据库的问题,用于unity3d生成的webplayer不能读取数据库的问题
Web常见漏洞描述及修复建议
java_java_cl的博客
07-17 1758
Web常见漏洞描述及修复建议(Description of common Web vulnerabilities and Suggestions for fixingthem)-来自:https://www.cnblogs.com/iAmSoScArEd/p/10651947.html-我超怕的 1.SQL注入   漏洞描述   Web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行,导致参数中的特殊字符破坏了SQL语句原有逻辑,攻击者可以利用该漏洞执行任意SQL语句,如查询数据、下载数据.
跨域策略文件crossdomain.xml文件
qq_42527761的博客
08-04 6257
文件简介配置规则cross-domain-policy元素site-controlallow-access-fromallow-access-from-identityallow-http-request-headers-from匹配规则文件范例 今天在看xray扫描出来的漏洞报告,如下图: 看到这个敏感信息泄露的报告后,开始重新试验了一下,发现确实存在。 <?xml version="1.0"?> <!DOCTYPE cross-domain-policy SYSTEM "ht.
跨域访问漏洞原理以及修复方法
最新发布
it知识分享 free for nothing..
04-08 1127
跨域访问漏洞原理以及修复方法
“Flash配置不当漏洞”详解
m0_49025459的博客
01-17 1772
可被用来进行跨域访问,可能会导致“跨站点伪造请求”或“跨站点跟踪”(“跨站点脚本编制”的变体)之类的攻击,从而导致其它用户的信息被非法读取。导致不受信任的第三方域的flash也能访问当前域的资源,绕过同源策略的限制,可为后续渗透攻击做准备,flash的跨域均可能导致XSS,CSRF等问题。Flash 显示程序接受 AllowScriptAccess 之类的对象参数。
ArcGIS server tomcat crossdomain.xml
03-27
总结起来,`crossdomain.xml`文件在ArcGIS Server与Tomcat的集成中起着关键作用,它解决了Flash和部分浏览器的跨域问题。同时,对于现代浏览器,我们需要配合CORS过滤器来确保跨域请求的正常进行。理解并正确配置...
webloigc 中设置 flex crossdomain.xml 文件
03-24
3. 配置WebLogic:为了让WebLogic服务器能够正确处理`crossdomain.xml`,你需要配置WebLogic的MIME类型映射。在WebLogic管理控制台中,转到`Servers` > `Server Name` > `Default Web Module` > `MIME Types`,然后...
怎么把网站crossdomain.xml配置风险去除
南京大大
09-30 1919
打开程序目录下的crossdomain.xml文件,确保配置只对提供安全资源的可信域开放: 源代码如下: 文件中的allow-access-from 实体设置为星号设置为允许任何域访问, 将其修改为 , *.17showshow.com 换为您自己的域名(注意是一级域名)。 表示只允许本域访问,该问题就解决了。
MinIO安装部署,使用docker版(最新版:8.0.3),已解决莫名其妙的xml解析错误
qq_44004908的博客
10-20 1727
MinIO安装部署,使用docker版(最新版:8.0.3),已解决莫名其妙的xml解析错误 最近在minio官网照着使用docker安装minio的时候,运行没问题,在控制台都可以进行正常操作,唯独使用javasdk操作时,总是抛出xml解析问题,debug一番发现是响应返回的问题。没有解决。后在某篇博客处找到了原因和解决方案,博客链接放底部。此处展示已修改后的方案。 docker安装 先创建基本挂载文件夹 mkdir /root/minio/data mkdir /root/minio/config
【文件上传-配置文件】crossdomain.xml跨域策略配置文件上传
09-13 1932
【任意文件上传】上传更新配置文件
Flex快速入门系列之五:crossdomain.xml文件创建以及允许本地跨域访问远程资源
zhuixunzhe的专栏
11-27 4305
问题:第四篇中可以发现,你如果在服务器启动状态,直接运行FlexModule,在一个flashplayer播放器的框口中加载这个应用,发现完全不反应,然后如果以debug模式启动这个应用你会发现一个错误: 警告: 忽略 http://fpdownload.adobe.com/pub/swz/crossdomain.xml 中策略文件的'secure' 属性。仅在 HTTPS 和套接字策略文件中允
关于跨域策略文件crossdomain.xml文件
kalogen的专栏
06-25 344
http://www.xiaonei.com/crossdomain.xml &lt;!– http://www.xiaonei.com/ –&gt;?&lt;cross-domain-policy&gt;&lt;allow-access-from domain=”*.xiaonei.com”/&gt;&lt;allow-access-from domain=”xiaonei.com”/&gt;...
常见的网站漏洞
xysoul的专栏
04-18 6325
1. 注入漏洞  (1)sql注入。   (2 )xss ( cross site script) 跨站脚本攻击。   服务端:      echo $_GET['s'];   浏览器URL:    test.demo.com/index.php?s=(页面就会被注入js    脚本)  (3)命令注入漏洞。    通过GET提交的
常见漏洞描述与修复建议.docx
qq_82303224_的博客
04-22 1415
所以要伪造用户的正常操作,最好的方法是通过XSS或链接欺骗等途径,让用户在本机(即拥有身份cookie的浏览器端)发起用户所不知道的请求。}或者return404!http明文传输协议,导致管理员admin密码泄露,同时该系统登录失败处理功能存在安全问题,登录失败提示admin用户存在且密码错误信息,由于系统未应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,导致可暴力破解,成功爆破出密码,一直攻击者成功破解或者截获密码,管理员可任意重置用户密码,导致系统数据泄露。
修改 Portainer 中的 crossdomain.xml
05-18
要修改 Portainer 中的 crossdomain.xml 文件,可以按照以下步骤进行操作: 1. 进入 Portainer 的容器: ``` docker exec -it portainer_container_name /bin/sh ``` 其中 `portainer_container_name` 是你...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值