flash跨域劫持漏洞

参考资料1
参考资料2

Adobe Flash 2017年7月25号,在官方博客上宣布到2020年底停止更新Flash,鼓励开发者尽早使用新的标准( HTML5、WebGL 和 WebAssembly)进行开发

ActionScript:(简称AS)是由Macromedia(现已被Adobe收购)为其Flash产品开发的,最初是一种简单的脚本语言,现在最新版本ActionScript3.0,是一种完全的面向对象的编程语言,功能强大,类库丰富,语法类似JavaScript,多用于Flash互动性、娱乐性、实用性开发,网页制作和RIA(丰富互联网程序)开发。

swf文件:swf(shock wave flash)是Macromedia(现已被ADOBE公司收购)公司的动画设计软件Flash的专用格式,被广泛应用于网页设计、动画制作等领域,swf文件通常也被称为Flash文件。

  • a网站中的flash—swf文件被b网站利用,b网站可以绕过a网站的crossdomain.xml访问a网站的资源,导致跨域访问资源。
    flash跨域劫持漏洞_第1张图片
    flash跨域劫持漏洞_第2张图片

  • 上传图片中若不检测文件内容,可以将swf文件的后缀名改为jpg,只需content-type绕过即可

你可能感兴趣的:(web基础)