江天一色
业精于勤荒于嬉,行成于思毁于随
2013年3月1日星期五
与FLASH的allowscriptaccess相关的存储型XSS
见:
http://www.wooyun.org/bugs/wooyun-2012-013721
朋友网日志引用的flash object的allowscriptaccess设为always,只要 movie的value是 http://qzs.qq.com域名下即可执行
则,只要找到一个qzs.qq.com域名下的具有XSS缺陷的flash文件
即可结合,导致存储型XSS
没有评论:
发表评论
较新的博文
较早的博文
主页
订阅:
博文评论 (Atom)
没有评论:
发表评论