ExternalInterface.call（functionName：字符串，...参数）：*

     fuctionName：要调用的JavaScript的函数名

     参数：参数，可选

{import flash.display.Sprite; import flash.external.ExternalInterface; 公共类XSSTest扩展了Sprite

       {public function XSSTest（）

             {var jsFunction：String = loaderInfo.parameters.jsFunction; var param：String =“abc”;

                    ExternalInterface.call（jsFunction，param）;

             }

       }

}

XSSTest.swf jsFunction =alert(/xss/) 

{

    import flash.events。*;

    import flash.display。*;

    import flash.media。*;

    import flash.external。*;

    import flash.net。*;

    import flash.system。*;

    公共类XSSC1扩展Sprite {

       private var m：声音;

       公共功能XSSC1（）{

           var mp3：* = null;

           var host：* = null;

           var u：* = null;

           var context：* = null;

           超（）;

           var p：* = this.loaderInfo.parameters;

           if（（“mp3”in p））{

               mp3 = p [“mp3”];

               host =（（mp3.match（/ ^（https？：\ / \ / [^ \\\ /] +）/））||（[“”，“”]））[1];

               Security.loadPolicyFile（（host +“/ crosdomain.xml”））;

               u = new URLRequest（mp3）;

               context = new SoundLoaderContext（1000，true）;

               m = new Sound（）;

               m.load（你，上下文）;

               m.play（）;

               m.addEventListener（Event.ID3，function（e：Event）：void {

                   if（（m.id3中的“songName”））{

                       if（ExternalInterface.available）{

                           迹（m.id3.songName）;

                           ExternalInterface.call（“console.log”，m.id3.songName）;

                       };

                   };

               }）;

           };

        }

    }

}//包

<？xml version =“1.0”？>

<！ -  http://www.foo.com/crossdomain.xml  - >

<！DOCTYPE跨域策略系统“http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd”>

<跨域策略>

 <allow-access-from domain =“*”/>

         <site-control allowed-cross-domain-policies =“all”/>

 <allow-http-request-headers-from domain =“*”headers =“*”/>

</跨域策略>

Flash XSS漏洞快速上手的更多相关文章

1. Flash XSS 漏洞详解 根治的好办法

   本文的目的是深层次的分析Flash的ExternalInterface的XSS漏洞,并提出比较有效的解决方案.   首先,我们看看什么情况下,会出现XSS.   第一种情况:        把flas ...

2. Flash XSS 漏洞实例

   www.bsdxm.com/zeroclipboard/ZeroClipboard.swf?id=\"))}catch(e){alert(/xss/);}//&width=500&a ...

3. Java应对Flash XSS攻击

   问题引出: 今天公司派出安全任务,说是要解决一个Flash XSS攻击,一看顿时傻眼,都没听说过.而且flash已经淘汰了,根本没研究过flash,搜了资料才开始慢慢开始工作. 要求: 1.过滤URL ...

4. 快速、直接的XSS漏洞检测爬虫 – XSScrapy

   XSScrapy是一个快速.直接的XSS漏洞检测爬虫,你只需要一个URL,它便可以帮助你发现XSS跨站脚本漏洞. XSScrapy的XSS漏洞攻击测试向量将会覆盖 Http头中的Referer字段 U ...

5. 快速找出网站中可能存在的XSS漏洞实践

   笔者写了一些XSS漏洞的挖掘过程记录下来,方便自己也方便他人. 一.背景 在本篇文章当中会一permeate生态测试系统为例,笔者此前写过一篇文章当中笔者已经讲解如何安装permeate渗透测试系统, ...

6. 快速找出网站中可能存在的XSS漏洞实践(一)

   一.背景 笔者最近在慕课录制了一套XSS跨站漏洞 加强Web安全视频教程,课程当中有讲到XSS的挖掘方式,所以在录制课程之前需要做大量实践案例,最近视频已经录制完成,准备将这些XSS漏洞的挖掘过程记录 ...

7. Atitit. Xss 漏洞的原理and应用xss木马

   Atitit. Xss 漏洞的原理and应用xss木马 1. XSS漏洞1 2. XSS的用途2 2.1. 盗取cookie2 2.2. 刷新流量 刷分3 2.3. DOS 窃取隐私”.“假冒身份”. ...

8. XSS跨站脚本攻击实例讲解，新浪微博XSS漏洞过程分析

   2011年6月28日晚,新浪微博遭遇到XSS蠕虫攻击侵袭,在不到一个小时的时间,超过3万微博用户受到该XSS蠕虫的攻击.此事件给严重依赖社交网络的网友们敲响了警钟.在此之前,国内多家著名的SNS网站和 ...

9. 为什么主流网站无法捕获 XSS 漏洞？

   二十多年来,跨站脚本(简称 XSS)漏洞一直是主流网站的心头之痛.为什么过了这么久,这些网站还是对此类漏洞束手无策呢? 对于最近 eBay 网站曝出的跨站脚本漏洞,你有什么想法?为什么会出现这样的漏网 ...

随机推荐

1. Daily Scrum Meeting ——ZeroDay(Beta)12.08

   算是BETA冲刺的前奏,不算正式冲刺

2. 最近学习linux常用命令。

   一.文件系统的管理tips:输入命令的时候要常用tab键来补全 ls 查看目录信息 ( ls / ) ls -l 等价于 llpwd 查看当前所处的路径 cd 切换目录 (cd /) ,如果不带参数则 ...

3. DB2递归查询

   斐波纳契数列,又称黄金分割数列,指的是这样一个数列:1.1.2.3.5.8.13.21.……在数学上,斐波纳契数列以如下被以递归的方法定义:F0=0,F1=1,Fn=F(n-1)+F(n-2)(n&g ...

4. Jumony Core 3，真正的HTML引擎

   Jumony Core 3,真正的HTML引擎,正式版发布 2013-11-28 17:22 by Ivony..., 778 阅读, 18 评论, 收藏, 编辑 Jumony是一个开源项目,已经有三 ...

5. yii2自带的backend，frontend不够用，添加一个后台模块怎么做？

   在复杂项目里,高级模板中的fontend.backend application明显不够,可以再添加另外的application. 例如添加一个seller application .步骤如下: 1, ...

6. which framework or library is best to use WebRTC

   which framework or library is best to use WebRTC http://*.com/questions/24857637/current ...

7. 博客系统(cnblog)

   1.用户表:Userinfo 2.博客站点表:Blog 3.标签表:Tag 4.分类表:Category 5.文章表:Article 6.点赞踩表:ArticelUpDown 7.评论表:Commen ...

8. Flink架构、原理与部署测试(转)

   Apache Flink是一个面向分布式数据流处理和批量数据处理的开源计算平台,它能够基于同一个Flink运行时,提供支持流处理和批处理两种类型应用的功能. 现有的开源计算方案,会把流处理和批处理作为 ...

9. websocket学习和群聊实现

   WebSocket协议可以实现前后端全双工通信,从而取代浪费资源的长轮询.在此协议的基础上,可以实现前后端数据.多端数据,真正的实时响应.在学习WebSocket的过程中,实现了一个简化版群聊,过程和 ...

10. Mac下使用ABTestingGateway快速搭建灰度网关

    ABTestingGateway简介 ABTestingGateway 是新浪开源的一个可以动态设置分流策略的灰度发布系统,工作在7层,基于nginx和ngx-lua开发,使用 redis 作为分流策 ...