-
关于QQ空间可以绕过限制添加未审的flash的问题
虽然设置了flash域名的白名单但是却可以用白名单域名的跳转来绕过限制漏洞证明:构造如下地址 添加flash模块http://a.cntv.cn/main/c?d=cntv-0i=z570,1185482,3488u=http://flash.tqqa.com/200907/280002-1.s......
栏目:网站安全 点击:39 日期:2015-04-17 -
flash跨域策略文件crossdomain.xml配置详解 - 网站安全
CnCxzSec衰仔#39;s Blog0x00目录0x01简介0x02 crossdomain.xml的配置0x03总结0x01简介flash在跨域时唯一的限制策略就是crossdomain.xml文件,该文件限制了flash是否可以跨域读写数据以及允许从什么地方跨...
栏目:网站安全 点击:57 日期:2015-04-17 -
新浪微博COOKIES盗取[flash编程安全+apache http-only
最近突然觉得,很多flash开发人员在编写的时候,忽视了安全问题。被恶意利用的话,可以实现URL跳转,COOKIES盗取,甚至是蠕虫攻击。漏洞测试:IE , firefox , chrome(= = 这个输入测试代码,...
栏目:网站安全 点击:36 日期:2015-04-17 -
qq邮箱的几个跨站(word文档,flash跨站,文本型附件
QQ邮箱储存型xss,无任何过滤哦亲..邮箱打开附件处文本型附件可以直接打开,对文本字符无任何过滤。在所有ie内核的浏览器下面触发文本内的xss通过以下步骤可在现漏洞首先建个记事...
栏目:网站安全 点击:50 日期:2015-04-17 -
HTML5能够替代flash 增强Web安全性? - 网站安全 -
尽管现在所有连接互联网的计算机都安装了flash(Adobe问题不断的Web多媒体格式),但是似乎它很快就会被新标准HTML5所替代。按照Adobe自己话说,HTML5现在得到主流移动设备的普遍支持,...
栏目:网站安全 点击:46 日期:2015-04-17 -
JWPlayer Xss 0day [flash编程安全问题] - 网站安全 - 自
国外的一款播放器,使用网站数量超过百万,官方介绍:LongTail Video is a New York-based startup that has pioneered the web video market. Our flagship product the - JW Player - i......
栏目:网站安全 点击:64 日期:2015-04-17 -
去哪网站flash资源xss漏洞及修复 - 网站安全 - 自学
去哪资源站中的flash可造成xss造成跨站,可被利用做钓鱼,窃取cookies。详细说明:去哪儿资源站http://source.qunar.com中的falsh文件clickTag参数均为进行过滤而且直接展示在网址中,更改参数...
栏目:网站安全 点击:33 日期:2015-04-17 -
第三方flash组件带来的安全问题 - 网站安全 - 自学
大家知道,在不支持以Ajax方式发送二进制数据流的浏览器中,要实现带进度的文件上传功能,一般需要借助flash了(通过type=file表单上传,加上JS定期向服务器轮询也可以得到进度,不过...
栏目:网站安全 点击:38 日期:2015-04-17 -
新浪微博COOKIES盗取[flash编程安全+apache http-only
最近突然觉得,很多flash开发人员在编写的时候,忽视了安全问题。被恶意利用的话,可以实现URL跳转,COOKIES盗取,甚至是蠕虫攻击。漏洞测试:IE , firefox , chrome(= = 这个输入测试代码,...
栏目:网站安全 点击:42 日期:2015-04-17 -
雅虎的yimg.com两个flash跨站 - 网站安全 - 自学php
yimg两个flash过滤不严格,存在跨站http://mail.yimg.com/nq/mc/1_0_0/us/pim/userstatus_2.swf?url=http://www.baidu.comcallback=function(){alert(0)}()http://l.yimg.com/pb/webplayer/0.9.32/flash/swfpro......
栏目:网站安全 点击:41 日期:2015-04-17