网站检测提示的“Flash装备不妥”是什么缝隙?

访客5年前黑客工具589

 360站长渠道中有一个东西是“官网直达”,经过恳求能够使你的网站在360搜索成果中加上“官网”字样的标识,百度也有这样的东西,不过是收费的,所以趁着360还没收费,有爱好的朋友可认为自己的网站恳求一下,恳求这项服务有三个根本要求:ICP存案、契合法律法规、网站安全检测。前两项要求根本大部分网站都契合要求,我今日就卡在了第三项网站安全检测上,无法经过审阅。

我的网站运用的是Discuz论坛程序,360网站安全检测的评分是85分,呈现的仅有一个正告信息是“Flash装备不妥”的缝隙,查看了一下360官方给出的此缝隙损害:

可被用来进行跨域拜访,或许会导致“跨站点假造恳求”或“跨站点盯梢”(“跨站点脚本编制”的变体)之类的进犯,然后导致其它用户的信息被不合法读取。

这个缝隙的处理 *** 很简略——调整Flash跨域安全战略,Flash跨域战略文件是crossdomain.xml,假如是Discuz程序的话,这个文件就在Discuz的根目录中,咱们只需要将这个文件用记事本翻开,将domain="*"中的"*"修改为你的网站域名即可,域名前不要加http://。

处理 *** 便是这么简略,假如你仅仅为了处理这个正告信息的话,到这儿就能够不必再往下看了,由于问题现已处理了,但假如你对 *** 技术感爱好的话,能够持续往下面看。由于我觉得仍是有必要和各位 *** 技术爱好者介绍一下crossdomain.xml这个战略文件。

以Discuz论坛程序的crossdomain.xml文件为例,咱们看到其间有四行代码:

1.<?xml version="1.0"?>

2.<cross-domain-policy>

3. <allow-access-from domain="*" />

4.</cross-domain-policy>

为了便利介绍,我在每句代码前面加了序号,榜首句是最简略的,首要声明xml版别,第二句和第四句是一个完好的开合标签,略微有点HTML根底的朋友都清楚这一点。cross-domain-policy是跨域战略中有必要的一个节点,也是这个文件中固定的格局,经过这三个英文单词的意思咱们也能够了解cross-domain-policy的意思,其间cross domain能够了解为跨域,policy在这儿是战略的意思。整个文件中最重要的战略特点便是第三句,cross-domain-policy归于战略文件中的根节点,下面第三句allow-access-from归于子节点,当然子节点不是只要allow-access-from这一个,除此之外还包含site-control、allow-access-from-identity、allow-http-request-headers-from这三个子节点,也便是说cross-domain-policy下面的子节点只能是上面说到的这四个,没有其他的子节点。

cross-domain-policy是根节点,不能赋予任何特点,可是子节点是能够赋予特点的,例如咱们上面比如中的,其间的domain便是allow-access-from的特点之一,只要domain中指定的域才干经过Flash读取域中的信息和内容,例如咱们事例中domain的值是*,就代表一切的域都有权限经过Flash读取咱们网站地点域的内容,因而就有或许被他人跨域拜访并获取咱们网站的用户信息等灵敏内容,因而咱们在上面的处理 *** 中,也是将*替代为咱们自己的域名,这样只要咱们自己的域名地点域才有权限经过Flash拜访本域的内容。

相关文章

梦里参加攻防演习活动的过程分享(上)-黑客接单平台

0×01 前语 跟着国家对网络安全的进一步注重,攻防演练活动变得越来越重要,规划也更大。高强度的演习让无论是蓝方仍是红方都变得筋疲力尽,借用朋友圈里一位大佬的一句话:活动完毕的这一天,安全圈的气氛像春...

安全研究人员发现 Hacking Team 新开发不易发觉的Mac歹意软件

研究者在HackingTeam上发现了新开发的Mac歹意软件,这项发现促进了投机活动。自从上一年七月以来,这款臭名远扬的歹意软件造成了数Gbytes集团私家邮件和源代码的流出,现在这款软件作者再次出...

使用osquery进行远程取证-黑客接单平台

Osquery是一个SQL驱动操作体系检测和剖析东西,它由Facebook创立,支撑像SQL句子相同查询体系的各项目标,能够用于OSX和Linux操作体系。别的,osquery是一个多渠道软件,能够安...

恣意用户暗码重置(五):重置凭据可暴破

在逻辑缝隙中,恣意用户暗码重置最为常见,或许出现在新用户注册页面,也或许是用户登录后重置暗码的页面,或许用户忘掉暗码时的暗码找回页面,其间,暗码找回功用是重灾区。我把日常浸透过程中遇到的事例作了缝隙成...

使用QL和LGTM进行变异分析-黑客接单平台

在软件开发中,咱们常常看到相同的代码过错在项目的生命周期中重复呈现。这些相同的过错甚至会呈现在多个项目中。有时,这些过错一同有多个活动实例,有时一次只要一个活动实例,可是它们不断地从头呈现。当这些过错...

网络爬虫暗藏杀机:在Scrapy中利用Telnet服务LPE-黑客接单平台

网络抓取结构中运用最多的莫过所以scrapy,但是咱们是否考虑过这个结构是否存在缝隙妮?5年前曾经在scrapy中爆出过XXE缝隙,但是这次咱们发现的缝隙是一个LPE。 经过该缝隙能够获得shell,...