找回密码
 注册会员

QQ登录

只需一步,快速开始

查看: 20317|回复: 0

[转载] DZ的Flash配置不当漏洞修复方案

[复制链接]
发表于 2015-8-19 08:55:08 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转南昌530论坛

您需要 登录 才可以下载或查看,没有账号?注册会员

×

发现时间:

    2012-07-11

漏洞类型:

    配置错误

所属建站程序:

所属服务器类型:

所属编程语言:

描述:

    目标存在Flash配置不当漏洞

    1.Flash配置不当导致其它用户可以跨域访问其它的信息
    - 收起

    2.Flash安全策略配置,形如:



     //此处配置成全域,即允许任意域访问,导致跨域访问漏洞

危害:

    可被用来进行跨域访问,可能会导致“跨站点伪造请求”或“跨站点跟踪”(“跨站点脚本编制”的变体)之类的攻击,从而导致其它用户的信息被非法读取。

解决方案:

    方案1. 修改flash安全策略,做严格限制,比如限制到网站当前域。

    方案2. 修改crossdomain.xml文件,感谢站长 wangzongche 提供以下解决方案
    找到DZ安装根目录下的crossdomain.xml文件,找到代码:
    cross-domain-policy allow-access-from domain=* cross-domain-policy
    改成:
    cross-domain-policy allow-access-from domain= 改成你的网站地址 cross-domain-policy
    具体方法如下图:
t01933ec389207e4c29.png




上一篇:网友爆料八一广场靠近电信大楼的那条地下通道内灯光有连续一个多礼拜不工作
下一篇:昨晚有网友南昌十中湖边发现流浪母狗 是丢失的还是遗弃的呢?
您需要登录后才可以回帖 登录 | 注册会员

本版积分规则

如需要(删违规/投诉/建议/赞助等)请联系

本论坛所有来帖仅代表网友个人观点,不代表青山湖畔|南昌论坛立场。
网警提示:网络刷单是违法 切莫轻信有返利,网上交友套路多 卖惨要钱需当心,电子红包莫轻点 个人信息勿填写,仿冒客服来行骗 官方核实最重要,招工诈骗有套路 预交费用需谨慎,低价充值莫轻信 莫因游戏陷套路,连接WIFI要规范 确认安全再连接,抢购车票有章法 确认订单再付款,白条赊购慎使用 提升额度莫轻信,网购预付有风险 正规渠道很重要 如网民接到96110电话,请立即接听。

手机版|南昌530论坛

GMT+8, 2024-11-23 02:59

Powered by Discuz! X3.5

Cpoyright © 2001-2024 Discuz! Team

快速回复 返回顶部 返回列表