跨域问题 #3

webshell1414 · 2019-12-02T07:03:41Z

不理解为什么
第三方网站用<embed 方式加载目标网站的jpg，运行的flash是以目标网站的域下发起 get请求的

7dog7 · 2019-12-02T09:29:04Z

你应该是理解错了, 是不是以为把swf传到其他服务器上

7dog7 · 2019-12-02T09:46:26Z

比如访问:1.qq.com/crossdomain.xml
内容如下:
<cross-domain-policy> <allow-access-from domain="*.qq.com"/> <allow-access-from domain="*.gtimg.com"/> </cross-domain-policy>

1.qq.com内容就可以进行flash劫持.

条件:
1.需要在*.qq.com,*.gtimg.com 寻找一个上传图片的功能 , 上传swf文件 , 可以使用jpg格式
2.把payload放在任意一个网站里面文件为html,访问即可被劫持.ie默认支持flash

7dog7 · 2019-12-02T09:55:06Z

如还有问题,可以通过主页添加我微信

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

跨域问题 #3

跨域问题 #3

webshell1414 commented Dec 2, 2019

7dog7 commented Dec 2, 2019

7dog7 commented Dec 2, 2019 •

edited

7dog7 commented Dec 2, 2019

跨域问题 #3

跨域问题 #3

Comments

webshell1414 commented Dec 2, 2019

7dog7 commented Dec 2, 2019

7dog7 commented Dec 2, 2019 • edited

7dog7 commented Dec 2, 2019

7dog7 commented Dec 2, 2019 •

edited