TAILIEUCHUNG - Hacking Exposed ™ Web 2.0 phần 3

không có tách chặt chẽ tồn tại giữa các hướng dẫn chương trình và dữ liệu người dùng (còn gọi là người dùng nhập vào). Vấn đề này cho phép kẻ tấn công để lẻn hướng dẫn chương trình vào những nơi mà các nhà phát triển dự kiến sẽ dữ liệu chỉ lành tính. | 30 Hacking Exposed Web Flash Security Model Flash is a popular plug-in for most web browsers. Recent versions of Flash have very complicated security models that can be customized to the developer s preference. We describe some interesting aspects to Flash s security model here. However first we briefly describe some interesting features of Flash that JavaScript does not possess. Flash s scripting language is called ActionScript. ActionScript is similar to JavaScript and includes some interesting classes from an attacker s perspective The class Socket allows the developer to create raw TCP socket connections to allowed domains for purposes such as crafting complete HTTP requests with spoofed headers such as referrer. Also Socket can be used to scan some network computers and ports accessible that are not accessible externally. The class Externallnterface allows the developer to run JavaScript in the browser from Flash for purposes such as reading from and writing to . The classes XML and URLLoader perform HTTP requests with the browser cookies on behalf of the user to allowed domains for purposes such as crossdomain requests. By default the security model for Flash is similar to that of the same origin policy. Namely Flash can read responses from requests only from the same domain from which the Flash application originated. Flash also places some security around making HTTP requests but you can make cross-domain GET requests via Flash s getURL function. Also Flash does not allow Flash applications that are loaded over HTTP to read HTTPS responses. Flash does allow cross-domain communication if a security policy on the other domain permits communication with the domain where the Flash application resides. The security policy is an XML file usually named and usually located in the root directory of the other domain. The worst policy file from a security perspective looks something like this cross-domain-policy allow-access-from .

TỪ KHÓA LIÊN QUAN
TAILIEUCHUNG - Chia sẻ tài liệu không giới hạn
Địa chỉ : 444 Hoang Hoa Tham, Hanoi, Viet Nam
Website : tailieuchung.com
Email : tailieuchung20@gmail.com
Tailieuchung.com là thư viện tài liệu trực tuyến, nơi chia sẽ trao đổi hàng triệu tài liệu như luận văn đồ án, sách, giáo trình, đề thi.
Chúng tôi không chịu trách nhiệm liên quan đến các vấn đề bản quyền nội dung tài liệu được thành viên tự nguyện đăng tải lên, nếu phát hiện thấy tài liệu xấu hoặc tài liệu có bản quyền xin hãy email cho chúng tôi.
Đã phát hiện trình chặn quảng cáo AdBlock
Trang web này phụ thuộc vào doanh thu từ số lần hiển thị quảng cáo để tồn tại. Vui lòng tắt trình chặn quảng cáo của bạn hoặc tạm dừng tính năng chặn quảng cáo cho trang web này.