00x1:
今天在無聊的日站中發現了一個flash小站,點進crossdomain.xml一看,震驚
本屌看到這個*就發覺事情不對
百度一下,這是一個老洞,配置不當能引起各種問題就算能遠程加載惡意的swf文件,(swf是flash專用后綴文件常用於網頁和動畫制作,再多本屌也不知道了)
該洞出現原因和能造成危害有3點:
1.根本沒有配置crossdomain文件
2.配置了,但是寫個*號沒有什么用的
3.造成危害要目標網站有利用價值啊,比如獲取敏感信息,郵箱,個人主頁等,不像本屌的站,日穿都沒啥價值
4.和其他flash漏洞配合,比如cve-2011-2461等
所以綜上:還是有修復的必要的。
00x2:
像本屌這種級別的,一般只能關心關系咋個修復,至於漏洞原理分析啥的,原諒本屌暫時看不懂.
1.如果在根目錄下:
找到crossdomain.xml文件修改 allow-access-from = * 改成自己的域名,同源策略大家都懂嘛。
2.如果在諸如webapp目錄下非根目錄下:
在flex中需要在初始化中應用
Security.loadPolicyFile("http:// localhost:8080/xxx /crossdomain.xml")
xxx為webapp的名字,保證能訪問到crossdomain.xml文件
舉一個淘寶修復列子
具體就算有CDN要把CDN加其,其他按照需求加。
00x3 REF:
https://blog.csdn.net/sotower/article/details/45046097
https://blog.csdn.net/summerhust/article/details/7721627
https://www.freebuf.com/articles/web/37432.html
cve-2011-2461漏洞原理分析:http://www.vuln.cn/6128