crossdomain.xml配置不当的利用和解决办法

00x1:

今天在无聊的日站中发现了一个flash小站，点进crossdomain.xml一看，震惊

本屌看到这个*就发觉事情不对

百度一下，这是一个老洞，配置不当能引起各种问题就算能远程加载恶意的swf文件，(swf是flash专用后缀文件常用于网页和动画制作，再多本屌也不知道了)

该洞出现原因和能造成危害有3点:

1.根本没有配置crossdomain文件

2.配置了，但是写个*号没有什么用的

3.造成危害要目标网站有利用价值啊，比如获取敏感信息，邮箱，个人主页等，不像本屌的站，日穿都没啥价值

4.和其他flash漏洞配合，比如cve-2011-2461等

所以综上:还是有修复的必要的。

00x2：

像本屌这种级别的，一般只能关心关系咋个修复，至于漏洞原理分析啥的，原谅本屌暂时看不懂.

1.如果在根目录下:

找到crossdomain.xml文件修改 allow-access-from = * 改成自己的域名，同源策略大家都懂嘛。

2.如果在诸如webapp目录下非根目录下:

在flex中需要在初始化中应用

Security.loadPolicyFile("http:// localhost:8080/xxx /crossdomain.xml")

xxx为webapp的名字,保证能访问到crossdomain.xml文件

举一个淘宝修复列子

具体就算有CDN要把CDN加其，其他按照需求加。

00x3 REF:

https://blog.csdn.net/sotower/article/details/45046097

https://blog.csdn.net/summerhust/article/details/7721627

https://www.freebuf.com/articles/web/37432.html

 cve-2011-2461漏洞原理分析:http://www.vuln.cn/6128