00x1:

今天在無(wú)聊的日站中發(fā)現(xiàn)了一個(gè)flash小站，點(diǎn)進(jìn)crossdomain.xml一看，震驚

本屌看到這個(gè)*就發(fā)覺事情不對(duì)

百度一下，這是一個(gè)老洞，配置不當(dāng)能引起各種問(wèn)題就算能遠(yuǎn)程加載惡意的swf文件，(swf是flash專用后綴文件常用于網(wǎng)頁(yè)和動(dòng)畫制作，再多本屌也不知道了)

該洞出現(xiàn)原因和能造成危害有3點(diǎn):

1.根本沒(méi)有配置crossdomain文件

2.配置了，但是寫個(gè)*號(hào)沒(méi)有什么用的

3.造成危害要目標(biāo)網(wǎng)站有利用價(jià)值啊，比如獲取敏感信息，郵箱，個(gè)人主頁(yè)等，不像本屌的站，日穿都沒(méi)啥價(jià)值

4.和其他flash漏洞配合，比如cve-2011-2461等

所以綜上:還是有修復(fù)的必要的。

00x2：

像本屌這種級(jí)別的，一般只能關(guān)心關(guān)系咋個(gè)修復(fù)，至于漏洞原理分析啥的，原諒本屌暫時(shí)看不懂.

1.如果在根目錄下:

找到crossdomain.xml文件修改 allow-access-from = * 改成自己的域名，同源策略大家都懂嘛。

2.如果在諸如webapp目錄下非根目錄下:

在flex中需要在初始化中應(yīng)用

Security.loadPolicyFile("http:// localhost:8080/xxx /crossdomain.xml")

xxx為webapp的名字,保證能訪問(wèn)到crossdomain.xml文件

舉一個(gè)淘寶修復(fù)列子

具體就算有CDN要把CDN加其，其他按照需求加。

00x3 REF:

https://blog.csdn.net/sotower/article/details/45046097

https://blog.csdn.net/summerhust/article/details/7721627

https://www.freebuf.com/articles/web/37432.html

?cve-2011-2461漏洞原理分析:http://www.vuln.cn/6128

?

?

?

轉(zhuǎn)載于:https://www.cnblogs.com/lidaye1928/p/10373336.html

總結(jié)

以上是生活随笔為你收集整理的crossdomain.xml配置不当的利用和解决办法的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。