跨域问题

Question

跨域问题

webshell1414 opened this issue 5 years ago · 3 comments

不理解为什么
第三方网站用<embed 方式加载目标网站的jpg，运行的flash是以目标网站的域下发起 get请求的

Answer 1 · 2019-12-02T09:29:04.000Z

你应该是理解错了, 是不是以为把swf传到其他服务器上

Answer 2 · 2019-12-02T09:46:26.000Z

比如访问:1.qq.com/crossdomain.xml
内容如下:
<cross-domain-policy> <allow-access-from domain="*.qq.com"/> <allow-access-from domain="*.gtimg.com"/> </cross-domain-policy>

1.qq.com内容就可以进行flash劫持.

条件:
1.需要在*.qq.com,*.gtimg.com 寻找一个上传图片的功能 , 上传swf文件 , 可以使用jpg格式
2.把payload放在任意一个网站里面文件为html,访问即可被劫持.ie默认支持flash

Answer 3 · 2019-12-02T09:55:06.000Z

如还有问题,可以通过主页添加我微信