本文来源mnask师傅的电子书籍:https://nmask.gitbooks.io/vulnerability-box/ 内容和书内基本一致,若侵权请尽快联系我删除文章:qq793029568

0x01 SQL注入漏洞–高危

漏洞描述

sql注入(SQL Injection)漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验,即没有进行有效的特殊字符过滤,导致网站服务器存在安全风险。

漏洞危害

  • 机密数据被窃取
  • 核心业务数据被篡改
  • 网页被篡改
  • 数据库所在服务器被攻击从而变为傀儡主机,导致局域网(内网)被入侵

修复建议

  • 在网页代码中对用户输入的数据进行严格过滤;(代码层)
  • 部署Web应用防火墙;(设备层)
  • 对数据库操作进行监控(数据库层)

在代码层最佳防御sql漏洞方案:采用sql语句预编译和绑定变量,即采用PreparedStatement。

PreparedStatement是Statement的一个子类,主要的功能是将sql语句select id,no from user where id=?预先编译好,也就是sql引擎会预先进行语法分析,产生相应的语法数,生成执行计划,即用户输入的信息只会去替代语句中变量后面的 ?不会影响到语句的具体结构,无论输入的参数是什么,都不会去影响sql的语法结构,因为语法的分析已经结束了,而语法分析主要是分析sql命令。即使键入了select,from,where,and,or,order by 等,也不会被作为sql语句来执行,只会被当做是字符串面值参数。所以sql预编译是可以防御sql注入的。

其他防御方式:后端sql语句前通过正则匹配的方式过滤一些敏感字符。

0x02 目录遍历漏洞–中危

漏洞描述

该漏洞主要是可以获取到系统问键及服务器的配置文件,利用服务器API、文件标准权限进行攻击。

漏洞危害

攻击者可以通过该漏洞获得服务器上的文件目录结构,从而下载到敏感的文件。

修复建议

  • 可通过修改配置文件,去除中间件(如IIS、Apache、Tomcat等)的文件目录索引功能
  • 设置目录权限
  • 在每个木库下创建一个空的index.html页面

0x03 跨站脚本漏洞(XSS)

漏洞描述

XSS漏洞,是利用跨站脚本漏洞可以在网站中插入任意的代码,它能够获取网站管理员或普通用户的cookie,隐蔽运行网页木马,或者是格式化浏览者的硬盘。

漏洞危害

  • 攻击者可进行网络钓鱼,盗取管理员或用户账号及密码等隐私信息。
  • 可劫持合法用户会话,利用管理员身份进行恶意操作,篡改页面内容,进一步渗透网站。
  • 可进行网页挂马,传播跨站脚本蠕虫病毒等。
  • 可控制受害者极其向其他系统发起攻击。

修复建议

设置httponly

httponly无法完全的防御xss漏洞,只能够规定不是使用js去获取相关的cookie的内容,因此它只能防御利用xss进行cookie劫持问题,Httponly是在set-cookie时进行标记的,可对单独某个参数进行全部标记。由于设置httponly的方法比较简单,使用也较为的灵活,并且对防御cookie劫持非常有用,因此就逐渐成功一种默认的标准。

XSS filter

Xss filter往往是一个文本文件,里面包含允许被用户输入提交的字符。主要的检测的点在于用户输入的时候,xss filter分为白名单与黑名单,推荐使用白名单,但即使使用白名单还是无法完全杜绝xss问题,并且使用不当可能有较高的误报率。

编码转义

编码方式较多,可html编码、url编码、16进制编码、javascript编码等。在处理用户输入时,除用xss filter的方式过滤一些敏感字符外,还需要配合使用编码的方式,将一些敏感的字符通过编码的方式改变原来的样子,从而不能被浏览器当成js代码执行。

处理富文本

目前有些网页编辑器允许用户使用一些自定义的html代码,称之为富文本。在富文本中防御xss漏洞就要控制用户能使用的标签,限制为只能使用a、div等安全标签。

输出类型xss漏洞

xss漏洞的本质就是通过html页面进行注入,也就是将html代码提交到网页中,name其防御的根本就是在用户提交的代码显示到页面上时做好一系列的过滤与转义。

其他修复

  • 开发者需要严格安全openid和openkey的校验规则判断openid和openkey是否合法,且判断其他参数的合法性,不合法不返回任何内容。

  • 严格限制URL参数输入值的格式,不能包含不必要的特殊字符(%0d、%0a、%0D、%0A等)。

  • 针对ASP.NET的防XSS库,Microsoft有提供统一的库。

  • 具体的js方法如下:

    • 对于用户输入的参数值展现在html正文中或者属性值中的情况

      1
      2
      3
      4
      5
      6
      展现在html正文中:<a href='http://www.contoso.com'>Un-trusted input</a> 展现在属性值中:
      <input name="searchword" value="Un-trusted input"> 此时需要将红色的不可信内容中做如下的转码(即将<> ‘ “ ` 转成html实体): 
      <  ->  &lt;
      >  ->  &gt;
      '  ->  &#39;
      "  ->  &quto;

    • 对于用户输入在<script>的内容中的情况,例如:

      1
      2
      3
      <script type="text/javascript"> … var mymsg="Un-trusted input"; var uin=Un-trusted input; … </script>

      "  ->  \x34

0x04 未过滤HTM代码漏洞

漏洞描述

由于页面过滤HTML代码,攻击者可通过构造XSS代码(或绕过防火墙保护策略),实现跨站脚本攻击等。

漏洞危害

  • 恶意用户可使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash利用应用漏洞,从而获取用户信息
  • 攻击者能盗取会话cookie、获取账户、模拟其他用户身份,可修改网页呈现给其他用户的内容。

修复建议

  • 严格过滤用户输入的数据
  • 可参考跨站脚本漏洞修复方案

0x05 数据库运行出错

漏洞描述

网站存在数据库运行出错,由于网页数据交换出错,攻击者可获取报错中的敏感信息,即sql报错注入类型等。

漏洞危害

  • 加密数据可被窃取
  • 攻击者通过构造特殊URL地址,触发系统web应用程序报错,在回显内容中,获取敏感网站信息
  • 攻击者利用漏洞泄露的敏感信息获取网站服务器web路径,为进一步攻击提供帮助

修复建议

  • 检查数据库缓存是否溢出,是否具有失效的配置管理,禁用一切不必要的功能
  • 对网站错误信息进行统一返回,模糊化处理

0x06 Flash安全配置缺陷漏洞

漏洞描述

网站存在Flash安全配置缺陷,该漏洞可导致跨域访问,让用户访问非法Flash文件

  • allowScriptAccess:是否允许flash访问浏览器脚本如果不对不信任的flash限制,默认会允许调用浏览器脚本,产生XSS漏洞。
    • always(默认值),总是允许
    • sameDomain,同域允许;
    • never,不允许
  • allowNetworking:是否允许flash访问ActionScript中的网络API。如果不对不信任的flash限制,会带来flash弹窗、CSRF等问题。
    • all,允许所有功能,会带来flash弹窗危害;
    • internal,可以向外发送请求、加载网页
    • none,无法进行任何网路相关动作(业务正常功能可能无法使用)

漏洞危害

网站的Flash配置文件crossdomain.xml配置不当,当存在Flash跨域攻击安全隐患

修复建议

  • 修改flash安全策略,做严格限制,比如限制到网站当前域
  • 找到相应目录下的crossdomain.xml文件,将其中的cross-domain-policy allow-access-fromdomain=* cross-domain-policy改成:cross-domain-policy allow-access-from domain=改成你的网站地址 cross-domain-policy。

0x07 FCK编辑器泄露漏洞

漏洞描述

利用此漏洞的攻击者可访问编辑器页面,上传图片

漏洞危害

  • 由于网站编辑器没有对管理员登录进行校验,导致任意用户访问编辑器
  • 利用编辑器漏洞查看网站全硬盘目录

修复建议

对编辑器页面进行访问控制,进制未授权的访问,并升级fck编辑器版本。

0x08 FCK editor任意文件上传漏洞

漏洞描述

FCK editor版本低于或等于2.4.3时网站存在任意文件上传漏洞们可以利用该漏洞上传任意文件。

漏洞危害

  • 由于目标网站为做上传格式的限制,导致网站、数据库和服务器有被入侵的风险;
  • 可能导致网站被攻击者控制,网站数据被窃取、网页被篡改等

修复建议

  • 设置FCK editor编辑器相关页面在为授权的前提下无法正常访问,和限制FCK上传文件的格式
  • 下载并更新值FCK editor的最新版本

0x09 URL Redirect漏洞

漏洞描述

URL Redirect漏洞即URL重定向漏洞,通过URL修改为指向恶意站点,攻击者可以成功发起网络钓鱼诈骗并获取用户相关信息。

漏洞危害

  • web应用程序执行指向外部站点的重定向
  • 攻击者可能会使用web服务器攻击其他站点,增加匿名性

修复建议

  • 在网页代码中需要对用户输入的数据进行严格过滤(代码层)
  • 部署web应用防火墙(设备层)

0x10 文件上传漏洞

漏洞描述

站点存在任意文件上传漏洞,文件上传功能没有进行格式限制,容易被攻击者利用上传恶意脚本文件

漏洞危害

  • 攻击者可通过次漏洞上传恶意脚本文件,对服务器的正常运行造成安全威胁
  • 攻击者可上传可执行的WebShell(如php、jsp、asp类型的木马病毒),或者利用目录跳转上传gif、html、config文件,覆盖原有的系统文件,达到获取系统权限的目的。

修复建议

  • 对上传文件格式进行严格校验及安全扫描,防止上传恶意脚本文件
  • 设置权限限制,进制上传目录的执行权限
  • 严格限制可上传的文件路径
  • 文件扩展名服务端白名单校验
  • 文件内容服务端检验
  • 上传文件重命名
  • 隐藏上传文件路径

0x11 后台弱口令漏洞

漏洞描述

网站管理后台用户名密码较为简单或为默认,容易被攻击者进行爆破

漏洞危害

  • 攻击者利用弱口令登录网站管理后台,可任意增删文章等造成负面影响
  • 攻击者可进一步查看网站信息,获取服务器权限,导致整个局域网被入侵

修复建议

  • 对管理后台进行访问控制,修改后台弱口令,加强口令强度并定期修改
  • 增加验证机制,防爆破机制,限制ip+cookie访问次数

0x12 敏感信息泄露漏洞

漏洞描述

由于网站运维人员疏忽,存放敏感信息的文件被泄露或者由于网站运行出错导致敏感信息泄露

漏洞危害

  • 攻击者可直接下载用户相关信息,包括网站的绝对路径、用户的登录名、密码、真实姓名、身份证号、电话号码、邮箱、QQ号等
  • 攻击者通过构造特殊URL地址,触发系统web应用程序报错,在回显内容中,获取网站敏感信息
  • 攻击者利用泄露的敏感信息,获取网站服务器web路径,为进一步攻击提供帮助

修复建议

  • 对网站错误信息进行统一返回,模糊化处理
  • 对存放敏感信息的文件加密并妥善存储,避免泄露敏感信息

0x13 未加密登录请求漏洞

漏洞描述

网站对用户登录认证信息未进行加密,敏感信息以明文形式进行传送,易在传输过程中被获取。

漏洞危害

  • 易造成用户敏感信息泄露与篡改

修复建议

  • 建议通过加密连接(如:SSL)方式进行敏感信息的传送

0x14 后台口令暴力破解

漏洞描述

由于网站管理后台系统登录无验证码校验,可导致后台用户名密码被暴力破解

漏洞危害

  • 攻击者可利用该漏洞无限次提交用户名密码,从而可以暴力爆破后台用户名及密码
  • 暴力破解后登录其中一个账号可进行管理后台,攻击者登录网站后台任意增删文件等造成负面影响
  • 攻击者可进一步登录后天查看网站信息,上传恶意脚本文件,获取服务器权限,导致局域网(内网)被入侵

修复建议

  • 对该页面进行访问控制,禁止外网ip或非法ip访问后台页面,并增加验证码校验,加强账号锁定机制
  • 增加ip+cookie配置方式限制访问频率

0x15 跨站请求伪造(CSRF)

漏洞描述

跨站请求伪造,即CSRF,攻击者通过伪造来自受信任用户的请求,达到增加、删除、篡改网站内容的目的

漏洞危害

  • 攻击者冒充用户或者管理员,伪造请求,进行篡改、转账、改密码、发邮件等非法操作

修复建议

  • 过滤用户输入,不允许发布含有站内操作URL的链接;
  • 改良站内API的设计,关键操作使用验证码,只接受POST请求,GET请求应该只浏览而不改变服务器端资源
  • 对于web站点,将持久化的授权方法(例如cookie或者HTTP授权)切换为瞬时的授权方法(在每个form中提供隐藏field)
  • 在浏览其他站点前登出站点或者在浏览器会话结束后清理浏览器的cookie

服务器端防御

  • 验证HTTP Referer字段
  • 请求地址中添加token并验证(token不放在cookie中,放在http请求参数中,服务器端对其进行验证)
  • 将token加入http头属性中,避免token出现在浏览器中,被泄露

客户端防御

为了配合服务器端对token的验证,name客户端也需要在访问时生成token,这是利用js来给html中的链接和表单请求地址附加csrftoken代码,其中已定义token为全局变量,其值可以从session中得到。

0x16 Unicode编码转换漏洞–中危

漏洞描述

该漏洞由于Unicode在编码转换过程中会忽略某些字符,导致攻击者可插入该字符绕过安全设备的检测

漏洞危害

  • 攻击者可通过插入特殊字符,可拆分攻击的关键词,绕过安全设备的检测

修复建议

  • 修改中间件,过滤特殊字符
  • 部署web应用防火墙

0x17 Possible .Net Error Message–中危

漏洞描述

网站存在.net报错信息,由于网站为配置统一错误返回页面,导致aspx出错并显示出错误信息

漏洞危害

  • 攻击者可通过特殊的攻击向量,有可能泄露如绝对路径、源代码、sql语句等敏感信息,恶意攻击者很有可能利用这些信息实施进一步攻击。

修复建议

  • 关闭php错误回显,或者修正代码

0x18 发生内部错误漏洞

漏洞描述

500 Internal Server Error

漏洞危害

攻击者向服务器提交精心构造的恶意数据后,有可能导致服务器出现内部错误,服务器宕机或者数据库错乱

修复建议

  • 严格过滤用户输入的数据
  • 服务器错误统一模糊处理,或者舔砖首页/404页面

0x19 SVN源代码泄露

漏洞描述

由于目标网站没有及时清除SVN服务器连接时的残留信息,导致存在此漏洞

漏洞危害

  • 攻击者可利用该漏洞下载网站的源代码,获得数据库的连接密码等敏感信息
  • 攻击者可通过源代码分析出新的系统漏洞,从而进一步入侵系统

修复建议

  • 删除指定SVN生成的各种文件,如/.svn/entries

0x20 旁站攻击漏洞

漏洞描述

多家网站在同一台服务器上,因一个网站存在致命高危漏洞,导致整台服务器被入侵

漏洞危害

  • 服务器上的所有网站均可被获得控制权限,攻击者可利用该漏洞登录网站后台任意增删文件等造成负面影响
  • 攻击者可通过旁站服务器漏洞进行网站内网对其他服务器进行进一步攻击

修复建议

  • 修补同一台服务器上的其他网站漏洞
  • 建议每个网站单独服务器运行

0x21 后台登录页面绕过

漏洞描述

越权操作,可直接通过访问后台地址进行访问,绕过登陆限制

漏洞危害

  • 一旦入侵者发现后台URL,便可进入后台页面,进行非法操作

修复建议

  • 对后台所有url做好权限设置
  • 禁止外网访问后台地址

0x22 CVS信息泄露

漏洞描述

由于目标网站没有及时清除CVS服务器连接时的残留信息,导致存在此漏洞

漏洞测试

访问 /cvs/等页面,若出现如下内容,则表示存在此漏洞

1
XXX@cvs.cssweb.sh.cn:/cvs_2010/project/gtja

@前面的是用户名,后面的是服务器地址

漏洞危害

  • 攻击者可利用该漏洞下载网站的源代码,获取数据库的连接密码等敏感信息
  • 攻击者可通过源代码分析出新的系统漏洞,从而进一步入侵系统

修复建议

删除指定CVS生成的各种文件,如/cvs/root

0x23 Possible PHP Error Message

漏洞描述

网站存在Possible PHP Error Message,由于网站为配置统一错误返回页面,导致PHP出错并且出错误信息

漏洞危害

  • 攻击者可通过特殊的攻击向量,有可能泄露如绝对路径、源代码、sql语句等敏感信息,恶意攻击者很有可能利用这些信息实施进一步攻击

修复建议

  • 关闭PHP错误回显,或修正代码

0x24 HPP漏洞

漏洞描述

即http参数污染,是web容器处理http参数时的问题,比如访问URL:http://www.xxx.com/index.php?str=hello此时页面显示hello,但是如果访问:http://www.xxx.com/index.php?str=hello&str=world此时,页面显示world,把前面参数的值给覆盖了,即http参数污染

漏洞危害

用来绕过WAF

修复建议

  • 修改web容器处理机制

0x25 File Operation-Web.xml漏洞

漏洞描述

攻击者可通过文件内容泄露漏洞(或文件包含漏洞)获取敏感文件的内容,或至二级执行其指定的恶意脚本,进而得到web服务器的控制权限。

漏洞危害

  • 文件内容泄露漏洞(或文件包含漏洞)允许攻击者读取服务器中的任意文件,或通过特殊的指令将脚本源码文件的内容合并至当前的文件中执行
  • 很多脚本语言允许通过特殊的指令(如PHP通过require关键字)将其他脚本源码文件的内容合并至当前的文件中执行,如果这些特殊的指令在包含的文件路径中含有用户提交的数据,则恶意攻击者就有可能通过构造特殊的数据将WEB服务器限制访问的文件内容(如操作系统或某些重要应用的配置文件)包含进来并通过浏览器获取其内容,这种方式通常称为本地文件包含;如果应用程序的配置还允许包含远程的其他服务器上的文件,恶意攻击者就有可能构造特殊的脚本然后通过包含并予以执行,进而获取web应用的敏感数据或控制权。

修复建议

  • 如果可能,使用包含指令时显示执行包含的文件名称
  • 如果必须通过用户的输入指定包含的文件,则最好分析用户的输入,然后从文件白名单中显示地选择
  • 对用户的输入进行严格的过滤,确保其包含的文件在预定的目录中或不能包含URL参数。

0x26 短文件名泄露漏洞–中危

漏洞描述

该漏洞由于Windows处理较长文件名时为方便使用较短的文件名代替,攻击者可利用该漏洞尝试获取网站服务器下的文件名。

漏洞危害

攻击者可通过该漏洞尝试获取网站服务器下存放文件的文件名,达到获取更多信息来入侵服务器的目的

修复建议

  • 修改Windows配置,关闭短文件名功能
  • 部署web应用防火墙,防止攻击者批量尝试

0x27 OS注入漏洞–高危

漏洞描述

网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验,允许用户能够提交系统命令操作,会导致攻击者能控制整个服务器

漏洞危害

攻击者可以执行任意操作系统命令,进行恶意攻击

修复建议

  • 进制调用系统问题;
  • 部署web应用防火墙
  • 过滤用户输入

0x28 SOAP注入漏洞–高危

漏洞描述

用户提交的数据直接插入到SOAP消息中,攻击者可以破坏消息结构,从而实现SOAP注入

漏洞危害

攻击者可以改变应用程序的逻辑,修改数据

修复建议

在用户提交的数据被插入SOAP消息的实施便捷进行过滤。

0x29 XPATH注入漏洞–高危

漏洞描述

网站使用XPATH访问数据,响应用户提交的输入,如果用户的输入未经过过滤就插入到XPath的查询中,攻击者就可以通过控制查询语句来破坏应用程序,或者获取未授权访问的数据

漏洞危害

攻击者可以改变应用程序的逻辑,修改数据

修复建议

  • 在网页代码中对用户输入的数据进行严格过滤
  • 部署web应用防火墙

0x30 SMTP注入漏洞–高危

漏洞描述

在电子邮件功能中,攻击者可在会话中注入任意SMTP命令,完全控制应用程序的消息

漏洞危害

  • 篡改用户的邮件内容

修复建议

  • 在客户端代码中对用户输入的数据畸形严格过滤;
  • 部署web应用防火墙

0x31 LDAP注入漏洞–高危

漏洞描述

LDAP是一种轻量级目录访问协议,可以用来保存信息,如果在查询语句中插入恶意代码,可以修改返回的结果

漏洞危害

  • 机密数据被窃取

修复建议

  • 在查询中对用户输入的数据进行严格过滤
  • 部署web应用防火墙

0x32 命令执行漏洞–高危

漏洞描述

命令执行漏洞是指代码未对用户可控参数做过滤,导致直接带入执行命令的代码中,对恶意构造的语句,可被用来执行任意命令

漏洞危害

攻击者可在服务器上执行任意命令,写入后门,从而入侵服务器,获取服务器的管理员权限,危害巨大

修复建议

严格过滤用户输入的数据,禁止执行系统命令

0x33 HTTP消息头注入漏洞

漏洞描述

用户控制的数据以不安全的方式插入到应用程序返回的HTTP消息头中,如果攻击者能够在消息头中注入换行符,就能在响应中插入其他HTTP消息头,并且响应主体中写入任意内容

漏洞检测

通过修改参数来判断是否存在漏洞,比如国内某著名网站曾经出现过header注入漏洞,如下URL:http://www.yyyyyyyyy.com/YYYYWeb/jsp/website/agentInvoke.jsp?agentid=%0D%0AX-foo:%20bar通过抓包时就会发现在报文头有

1
X-foo: bar;

漏洞危害

利用HTTP消息头注入漏洞可以控制用户访问页面的返回结果,执行恶意代码

修复建议

  • 不要把用户控制的输入插入到应用程序返回的HTTP消息头中
  • 部署web应用防火墙
    • 在设置HTTP响应头的代码中,过滤回车换行(%0d%0a、%0D%0A)字符
    • 不采用有漏洞版本的apache服务器,同时对参数做合法性校验以及长度限制,谨慎的根据用户所传入参数做http返回包的header设置。

0x34 验证机制缺陷漏洞–中危

漏洞描述

由于网站管理后台系统登录无验证码校验,可导致后台用户名密码被暴力破解

漏洞危害

  • 攻击者可利用该漏洞无限次提交用户名密码,从而可以爆破后台用户名密码
  • 暴力破解后登录其中一个账号可进管理后台,攻击者登录网站后台任意增删文件等造成负面影响
  • 攻击者可进一步登录后台查看网站信息,上传恶意脚本文件,获取服务器权限,导致局域网被入侵

修复建议

  • 对该页面进行访问控制,禁止外网IP或非法IP访问后台页面,并增加验证码校验,加强的账号锁定机制

0x35 文件包含漏洞

漏洞描述

文件包含漏洞多数情况出现在PHP中,jsp中也存在,文件包含分为本地包含与远程包含。

漏洞危害

  • 绕过WAF上传木马文件
  • 加载有害的远程内容,影响程序运行

漏洞修复

  • 关闭allow_url_fopen
  • 避免使用include参数
  • 使用web检测文件内容

0x36 Elasticsearch未授权访问漏洞

漏洞描述

elasticsearch是基于java的企业级搜索服务,启动此服务默认开放9200端口,可被非法操作数据。

漏洞检测

检测默认端口9200,相当于一个API,任何人访问这个地址,就可以调用api,进行数据的增删改操作

漏洞危害

可被非法操作数据,对网站数据造成影响

修复方案

  • 关闭9200端口
  • 防火墙设置禁止外网访问此端口

0x37 Git源代码泄露漏洞

漏洞描述

服务器将.git文件放在了web目录下,导致可以访问git文件内容,获取源代码

漏洞验证

验证访问网站.git目录,若git目录可以被访问,即存在此漏洞。

漏洞危害

可以通过此漏洞,获取项目源代码

漏洞修复

  • 删除网站目录下的.git文件
  • 中间件上设置.git目录访问权限,禁止访问
  • 防火墙上设置禁止访问此目录

0x38 PHPinfo()信息泄露漏洞

漏洞描述

web站点的某些测试页面可能会使用到PHP的phpinfo()函数,会输出服务器的关键信息。

检测方式

访问http://\[ip]\test.php以及http://\[ip]\phpinfo.php看是否能成功

修复建议

删除该PHP文件

0x39 Crossdomain.xml配置不当漏洞

漏洞描述

网站根目录下的文件crossdomain.xml指明远程flash是否可以加载当前网站的资源(图片、网页内容、flash等)如果配置不当,可能带来CSRF攻击。

检测方法

访问http://\[domain]\/crossdomain.xml

修复方案

对于不需要外部加载资源的网站,crossdomain.xml中更改allow_access_from的domain属性为域名白名单,修复大致样本如下

1
2
3
4
5
6
7
8
9
10
<?xml version="1.0"?>
<cross-domain-policy>
<allow-access-from secure="false" domain="*.qq.com"/>
<allow-access-from secure="false" domain="*.soso.com"/>
<allow-access-from secure="false" domain="*.paipai.com"/>
<allow-access-from secure="false" domain="*.gtimg.cn"/>
<allow-access-from secure="false" domain="*.pengyou.com"/>
<allow-access-from secure="false" domain="app10000.qzoneapp.com"/>
<allow-access-from secure="false" domain="app10000.imgcache.qzoneapp.com"/>
</cross-domain-policy>