ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
28.07.2017, 10:48
|
|
Guest
Сообщений: n/a
Провел на форуме:
619
Репутация:
0
|
|
неподскажете как эксплуатировать эту уязвимость?спасибо заранее
 |
|
|
|
28.07.2017, 11:18
|
|
Участник форума
Регистрация: 26.10.2007
Сообщений: 283
Провел на форуме:
2605910
Репутация:
212
|
|
Сообщение от alash
alash said:
↑
неподскажете как эксплуатировать эту уязвимость?спасибо заранее
Дод, с чего ты взял, что это прям "уязвимость"
этот файл просто разрешает флэш-плагину обратиться к закрашенному тобой сайту
просто к твоёму сайту методами GET & POST могут обращать флешки, которые лежат где угодно - на любом другом сайте или тупо локалхосте
|
|
|
28.07.2017, 13:04
|
|
Guest
Сообщений: n/a
Провел на форуме:
619
Репутация:
0
|
|
Сообщение от devton
devton said:
↑
Дод, с чего ты взял, что это прям "уязвимость"
этот файл просто разрешает флэш-плагину обратиться к закрашенному тобой сайту
просто к твоёму сайту методами GET & POST могут обращать флешки, которые лежат где угодно - на любом другом сайте или тупо локалхосте
Сообщение от devton
devton said:
↑
Дод, с чего ты взял, что это прям "уязвимость"
этот файл просто разрешает флэш-плагину обратиться к закрашенному тобой сайту
просто к твоёму сайту методами GET & POST могут обращать флешки, которые лежат где угодно - на любом другом сайте или тупо локалхосте Я это серьезно? Про flash? Вообще — да. Для кого-то это актуально, а к многих он исторически где-то еще работает. Да уже в этом году был один масштабный случай с флешем с «ново-старой» багой, про который в рунете так никто не написал Но давайте по порядку.
crossdomain.xml
Самое популярное связанное с флэшем — это файл crossdomain.xml. Это xml файл, который указывает флэш приложению политику работы с данным доменом (снова речь про SOP). И здесь ситуация как с CORS не пройдет. Если указано, что любой домен имеет доступ (вместе с куками) — значит любой. И это, конечно, плохо. Пример такого файла:
Флэшка с любого домена может обращаться к данному ресурсу (где расположен такой crossdomain) вместе с куками пользователя. Но это самый частый случай, бывает интереснее.
|
|
|
|
28.07.2017, 13:05
|
|
Guest
Сообщений: n/a
Провел на форуме:
619
Репутация:
0
|
|
Сообщение от alash
alash said:
↑
Я это серьезно? Про flash? Вообще — да. Для кого-то это актуально, а к многих он исторически где-то еще работает. Да уже в этом году был один масштабный случай с флешем с «ново-старой» багой, про который в рунете так никто не написал
Но давайте по порядку.
crossdomain.xml
Самое популярное связанное с флэшем — это файл crossdomain.xml. Это xml файл, который указывает флэш приложению политику работы с данным доменом (снова речь про SOP). И здесь ситуация как с CORS не пройдет. Если указано, что любой домен имеет доступ (вместе с куками) — значит любой. И это, конечно, плохо. Пример такого файла:
Флэшка с любого домена может обращаться к данному ресурсу (где расположен такой crossdomain) вместе с куками пользователя. Но это самый частый случай, бывает интереснее. читал на хабре поэтому хотел узнать
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
