00x1:

今天在无聊的日站中发现了一个flash小站,点进crossdomain.xml一看,震惊

本屌看到这个*就发觉事情不对

百度一下,这是一个老洞,配置不当能引起各种问题就算能远程加载恶意的swf文件,(swf是flash专用后缀文件常用于网页和动画制作,再多本屌也不知道了)

该洞出现原因和能造成危害有3点:

1.根本没有配置crossdomain文件

2.配置了,但是写个*号没有什么用的

3.造成危害要目标网站有利用价值啊,比如获取敏感信息,邮箱,个人主页等,不像本屌的站,日穿都没啥价值

4.和其他flash漏洞配合,比如cve-2011-2461等

所以综上:还是有修复的必要的。

00x2:

像本屌这种级别的,一般只能关心关系咋个修复,至于漏洞原理分析啥的,原谅本屌暂时看不懂.

1.如果在根目录下:

找到crossdomain.xml文件修改 allow-access-from = * 改成自己的域名,同源策略大家都懂嘛。

2.如果在诸如webapp目录下非根目录下:

在flex中需要在初始化中应用

Security.loadPolicyFile("http:// localhost:8080/xxx /crossdomain.xml")

xxx为webapp的名字,保证能访问到crossdomain.xml文件

举一个淘宝修复列子

具体就算有CDN要把CDN加其,其他按照需求加。

00x3 REF:

https://blog.csdn.net/sotower/article/details/45046097

https://blog.csdn.net/summerhust/article/details/7721627

https://www.freebuf.com/articles/web/37432.html

cve-2011-2461漏洞原理分析:http://www.vuln.cn/6128

转载于:https://www.cnblogs.com/lidaye1928/p/10373336.html

crossdomain.xml配置不当的利用和解决办法相关推荐

  1. OpenCore配置错误、故障与解决办法(05-14更新)

    OpenCore配置错误.故障与解决办法 随着0.5.8正式版OpenCore的发布,越来越多的朋友,也在逐步向OC转移.在转移的过程中,遇到了这样货那样的问题,这篇Blog旨在帮助大家解决这些问题. ...

  2. maven配置tomcat无法启动的解决办法

    maven配置tomcat无法启动的解决办法 maven配置的tomcat 配置方式 无法启动的解决办法 maven配置的tomcat 由于下载配置tomcat的方式比较繁琐,所以这里主要讲maven ...

  3. 电脑自动配置IPV4地址169的解决办法

    用过电脑上网的小伙伴们都知道,一般我们的电脑开机就会自动连接网络,即使是第一次连接wifi,只要输入密码之后即可使用,后续不再需要人为连接.那如果我们碰到电脑自动配置IPV4地址169怎么办呢?今天小 ...

  4. crossdomain.xml配置错误导致登录不了

    登录报错: Login接收数据错误![RPC Fault faultString="Send failed" faultCode="Client.Error.Messag ...

  5. springboot使用thymeleaf模板引擎时出现org.xml.sax.SAXParseException的原因与解决办法

    异常描述: 在springboot程序当中,使用thymeleaf作为视图的时候,跳转到页面上的时候,会出现org.xml.sax.SAXParseException的异常(SAX解析器解析xml文件 ...

  6. Error while obtaining UI hierarchy XML file: com.android.ddmlib.SyncExceptio解决办法

    很是奇怪,之前配置好的环境,代码可以运行,但是今天打开就报这个错了: Error while obtaining UI hierarchy XML file: com.android.ddmlib.S ...

  7. Win 2008 R2安装SQL Server 2008“性能计数器注册表配置单元一致性”失败的解决办法...

    今天在惠普服务器上安装数据库2008时,在进行数据库安装检测时总是有一点通不过,提示"性能计数器注册表配置单元一致性失败".以前在其他的服务器上安装都没有碰到过这个问题.开始以为系 ...

  8. ajax处理返回的xml数据,使用AJAX调用WebService返回xml不返回json原因以及解决办法...

    初次尝试用AJAX调用webservice,结果无论怎么设置webservice返回的都是xml对象,一般的jquery处理json是更方便的. webservice理论上将下面这段代码按照说明取消注 ...

  9. 本机tomcat的server.xml被还原的问题及解决办法

    将tomcat的server.xml进行修改,但当eclipse发布站点后,发布tomcat中的server.xml会被还原. 原因是eclipse会将自己的tomcat配置文件对tomcat覆盖,解 ...

最新文章

  1. 【智能制造】三张图读懂人工智能在工厂如何具体应用
  2. python基础教程第三版怎么样-Python基础教程(第三版)(七)再谈抽象
  3. 《高可用MySQL》2 – 单机版MySQL主从配置
  4. Docker使用阿里云docker镜像加速
  5. 你必须知道的容器监控 (1) Docker自带子命令与Weave Scope
  6. python自动化控制设备有限公司_华为 Python网络自动化
  7. php只刷新一次,怎么让php网页指只刷新一次
  8. markdown转换html源码,利用Nodejs+Express将Markdown转换为HTML(附源码)
  9. [转]android:clipToPadding和android:clipChildren
  10. 毕设题目:Matlab人脸识别
  11. 国内首款性能最稳定ISO 14443B身份证读卡器芯片FSV9523国产替代MFRC523 国产NFC芯片 不缺货 性价比高 可提供软硬件DEMO
  12. 最新消息2022年广西最新消防设施操作员模拟题库及答案
  13. 圆周运动的古中医学摘抄
  14. python 在线客服_如何利用Python实现简单全双工在线客服系统!这个有点东西!...
  15. 捍卫者usb管理控制系统_捍卫效用优先CSS
  16. Data Simulator+DB Fly概述
  17. Annoy算法简单介绍
  18. SQL 查询语句 IIF()处理条件判断
  19. java计算机毕业设计网上扶贫农产品销售系统源码+系统+数据库+lw文档+mybatis+运行部署
  20. 计算球体重量:已知铁的比重是7.86(克/立方厘米),金的比重是19.3(克/立方厘米)。写一个程序,分别计算出给定直径的铁球与金球的质量。

热门文章

  1. java json 修改字段_JSON文件-Java:编辑/更新字段值
  2. 巨蟒python全栈开发flask5
  3. 前后端数据加密传输 RSA非对称加密
  4. python函数-装饰器
  5. jquery template.js前端模板引擎
  6. 驱动思想之机制和策略
  7. bzoj3212 pku3468 A Simple Problem with Integers
  8. php常用代码(一)
  9. C# 的Delegate(委托)
  10. [MOSS开发]:如何使用用户控件