在某某 src 进行渗透测试的过程中,发现一个评论的地方并没有对次数进行限制且在数据区域也没有 token 的字眼,因此猜测此处存在 csrf 漏洞,于是就开始了漫长的学习之旅
1. 首先,第一步,我们需要找到存在缺陷的FLASH文件。如何找到这类文件呢?最好的办法,当然是GOOGLE搜索。但是其实很多人是不太会用搜索引擎。或者知道怎么用,但是不知道该如何搜索关键词。因而教程的开始,我们来说一说,如何搜索关键词。 2. 基本语句肯定是 site:qq.com filetype:swf 意思是,限定域名为qq.com 文件类型为FLASH文件。 3. 显然这样会搜索出很多FLASH文件,不利于我们后续的漏洞查找,所以我们需要输入某个关键词来进一步缩小范围。这里我列举一些寻找关键词的方式。 3.1 已知存在缺陷的FLASH文件名或参数名,如:swfupload,jwplayer等 3.2 多媒体功能的FLASH文件名,如:upload,player, music, video等 3.3 调用的外部配置或数据文件后缀,如: xml, php 等 3.4 前期经验积累下来的程序员特征参数名用词,如: callback, cb , function 等 4. 结合以上经验,本例使用其中第三条: 我们搜索:site:qq.com filetype:swf inurl:xml 可以找到这个FLASH
在客户端编程语言中,如JavaScript和ActionScript,同源策略是一个很重要的安全理念,它在保证数据的安全性方面有着重要的意义。同源策略规定跨域之间的脚本是隔离的,一个域的脚本不能访问和操作另外一个域的绝大部分属性和方法。那么什么叫相同域,什么叫不同的域呢?当两个域具有相同的协议(如http), 相同的端口(如80),相同的host(如www.example.org),那么我们就可以认为它们是相同的域。比如http://www.example.org/index.html和http://www.example.org/sub/index.html是同域,而http://www.example.org, https://www.example.org, http://www.example.org:8080, http://sub.example.org中的任何两个都将构成跨域。同源策略还应该对一些特殊情况做处理,比如限制file协议下脚本的访问权限。本地的HTML文件在浏览器中是通过file协议打开的,如果脚本能通过file协议访问到硬盘上其它任意文件,就会出现安全隐患,目前IE8还有这样的隐患。
翻译:衡-----------蓝色理想——经典论坛 --- 类型:转载 ActionScript 3.0 演变成一门强大的面向对象的编程语言意味着flash平台的重大变革。这种变化也意味着 ActionScript 3.0 将创造性地将语言理想地迅速地建立出适应网络的丰富应用程序, 成为丰富网络应用(Rich Internet Application)项目的本质部分。比较早期的ActionScript版本就已经提供了这种要求为创造真实地参与在线体验的力量和灵活性。ActionScript 3.0 将促
csrf漏洞的成因就是网站的cookie在浏览器中不会过期,只要不关闭浏览器或者退出登录,那以后只要是访问这个网站,都会默认你已经登录的状态。而在这个期间,攻击者发送了构造好的csrf脚本或包含csrf脚本的链接,可能会执行一些用户不想做的功能(比如是添加账号等)。这个操作不是用户真正想要执行的。
大家好,在这里分享一下flash里边处理redirect的方法。 一般而言,大家不会遇到这个问题,毕竟图片地址一般杠杠的,不会redirect。但昨天在拉取空间的照片就会出现redirect。神啊!!! 而且这个不是必现的,空间某些照片会突然redirect,例如从aXX.photo.qq.com域名转到sXX.photo.qq.com。 这个redirect,对于页面来说,当然是没问题的,反正浏览器解决了。但是在Flash里边,如果需要对下载回来的图片进行处理(放缩、平滑等),你就肯定会遇到 “需要一个策
前言:作为页面中实验设备的显示层,需要一个swf作为显示的UI。虽然可以用FlashMX进行简单的flash设计,但是FlashMX一般是偏向于动画设计,而不是程序设计,所以在进行相关的开发时,支持性不是太好,于是笔者就想到了转用Flex Builder来进行开发。
=====================================================
攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作。对于CSRF而言,它的攻击有两个关键点,跨站点的请求与请求是伪造的。
Macromedia Flash是强大的矢量动画编辑工具,在做动画起家之后,Flash一直在谋求rich internet application(ria富客户端)的霸主地位,最有影响的是,已经推出了面向对象的编程脚本ActionScript3.0,并且建立起类似于java swing的类库和相应component(组件)。Flex是通过java或者.net等非Flash途径,解释.mxml文件组织components,并生成相应得.swf文件。Flex的component和flash的component很相似,但是有所改进增强。目前Macromedia公司已经被ADOBE公司收购。当前(2008年10月)的flex版本为3.0 。 运用Flash是完全可以做到flex的效果的,为什么还需要flex呢?这里面有两个原因:1:为了迎合更多的developers(开发者)。Flash天生是为了designer(设计者)设计的,界面还有flash的动画概念和程序开发人员格格不入,为了吸引更多的jsp/asp/php等程序员,Macromedia推出了Flex,用非常简单的.mxml来描述界面给jsp/asp/php程序人员使用.(x/d)html非常相似,而且mxml更加规范化、标准化。 2,为了一个标准。你可能听说过微软下一代系统longhorn,在longhorn推出的同时微软也会推出新的语言xaml,一种界面描述语言,与之相应的就是smart client和flex非常相似的东西。Mxml和Xaml的也很相似… …这是人机交互技术的进步的重要体现,即内部逻辑与外部界面交互相分离。 Flex和j2ee/.net其实没什么关系,Macromedia用java做出来个应用把flash的技术融合到J2EE里面,再用.net的技术做出来个.net应用把flash技术融合到.net里面去;应该说flex解决了J2EE里面和.net里面最繁琐的问题那就是web 客户端的问题。 Flex与Flash的关系 Flash并非只是一个单纯的矢量动画创作工具,而是一个凭借脚本语言ActionScript在功能和定位上不断演变的网络应用开发工具。早在Flash MX的时候就已经成为macroemdia 推广RIA战略的工具。但是毕竟Flash最初的定位是面向美工的矢量动画创作工具,并不适合传统的开发人员。于是Flex成为开发者们的首选。 Flex和Flash都以ActionScript作为其核心编程语言,并被编译成swf文件运行于Flashplayer虚拟机里。因此Flex也继承了Flash在表示层上先天性的美感、除了视觉上的舒适感外,还天生具备方便的矢量图形、动画和媒体处理接口。 虽然Flex和Flash有众多的相似点,但是不同之处仍然很多 1.尽管公用ActionScript,但是使用的库并不完全相同,更合适的说法是两者使用着两套具有极大“功能重叠”范围的库。 2.Flash偏向的是美工人员,所以更容易发挥特效处理的优势,Flex偏向开发人员,所以容易做出具有丰富交互功能的应用程序。 3.Flash只能以ActionScript脚本的形式开发(舞台被关联到一个称之为 document class的类里),另外舞台元素也是可以绑定脚本的,不过从软件工程的角度讲不建议这样用,Flex还可以使用称作mxml的标记语言来描述应用的外观和行为,mxml中可以直接嵌入ActionScript脚本。 4.由于第三点而造成的两者市场定位不同,Flex是面向企业级的网络应用程序,Flash则面向诸如平面动画、广告设计等多媒体展示程序。 5.借助Flash Lite这一移动设备上的Flashplayer,Flash可以开发移动应用,Flex则不行。 6.Flash的编程模型是基于时间轴的,Flex的则是基于窗体,虽然它运行在网页里。
Sean Moore Bio 说道:秋天又一次来临了,是时候回顾一下2008年最热门的Flex和ActionScript 3.0 APIs,技巧和工具了,下面是我的总结,收集的比较全,Flex开发必备,欢迎补充。 介绍 Flex SDK 3.1 和 Flex Builder 3.0.1 Flex SDK 3.1 是一个Flex SDK里程碑式的版本,推荐开发者使用。 http://www.adobe.com/devnet/flex/articles/sdk3_fb301.html Cairngo
《Flash二维动画制作案例教程》是NACG国家动漫游戏产业振兴基地人才培训工程指定教材之一。《Flash二维动画制作案例教程》以任务驱动为导向,突出职业资格与岗位培训相结合的特点,以实用性为目标。每章节都有明确的学习目标,通过案例制作过程,逐步介绍制作过程中所需要掌握的方法和技巧。
0x00 前言 小白一枚前段时间遇到的,然后在网上查了资料询问了别人,做个简单的小总结。 0x01 XSF概念 XSF即Cross Site Flash,就是使用ActionScript加载第三方的Flash文件时,攻击者能控制这个第三方的Flash文件这样就有可能造成XSF攻击,以下函数如果使用不当就很容易产生XSF问题。在一些网站发帖或者评论的地方可加载FLASH文件的地方(不止flash文件),由于输入输出过滤不严格,而产生的跨站攻击。 0x02 Payload aaaa<object
接触JavaScript和ActionScript3也有近5年的时间了,它们都是应用比较广泛的脚本语言,经过这几年的工作和学习,静下来的时候想总结一些东西,作为技术上的沉淀以及培训所用,所以就有了这篇文章。先来看看二者的同性与差异性:
万世开头难,先来一个Hello World!吧,Adobe出了二款支持Action Script3语言的经典开发工具,即:Flash CS 与Flash Builder(以前称为Flex Builde
整体运作:Flex页面 -> ActionScript -> ASJavaBean -> Remote Interface -> Business Logic -> EJB/ORM -> DB .mxml .as ASpojo 接口的实现转换成真正JavaBean 业务处理 ORM 数据库 ASpojo与JavaBean一一对应
现在的开发人员都趋向于使用新的编程语言,那么旧的编程语言呢?它们的前途一般是这样两种:仍然可以使用,但逐渐不受大家欢迎;直接完全死去。和之前的十佳最受欢迎的编程语言相反,本文我们预测以下这几种编程语言面临着死亡威胁:
本文介绍了CrossBridge和Alchemy分别是什么,以及它们在Adobe Flash Player中的使用。CrossBridge是一个用于将C/C++代码编译成Flash Player插件的工具,而Alchemy是Adobe推出的一款用于创建高性能Flash Player插件的编译工具。使用CrossBridge和Alchemy可以将C/C++代码编译成Flash Player插件,从而在浏览器中运行。
随着年度复工大戏的开播,编程界语言排行榜又要面临一次全新的洗牌,六大编程语言将要黄了!此消息一出,令众多程序员心碎!
目前flash在各方个面的应用越来越广,而flash也不单只是注重自身绚丽的效果,也需要和外界程序交换数据,以实现更强大的功能,随着as3的到来,flash和外部交互的方式也越来越简便和合理化。今天就在这里谈谈as3和后台数据的交互(这里选择as3 php架构,其他配置同理)。
是的,没错,就是用vs2010来开发flex/flash !有图有真相: 1、在vs2010中创建as3/air/flex项目 2、ide环境中的as代码自动提示 对于不想安装flash cs/fla
CrossBridge是Adobe FlasCC的开源版本,它提供了一个完整的C/C++开发环境,目的是把C/C++程序编译成Flash程序,运行于Flash Runtime之上。 CrossBridge前身为Alchemy,它提供了一个完整的类似于BSD的C/C++开发环境,基于GCC编译器,可以把C/C++源代码编译成目标Adobe Flash Runtimes程序。使用CrossBridge,可以把现有的大多数C/C++代码移植到Web上。
前言: 在我负责的一个项目中,为了实现一个特殊的需求,要求在客户端的Cookie中长久保存一份数据,但是我们知道在客户端Cookie里保存数据是不稳定的,因为用户可能随时会清除掉浏览器的Cookie,在这种情况下,一般的解决方案是重新向服务器端发送一个请求,以获得一个新的HTTP Cookie数据,并将其保存--就一般的交互需求而言,这是没有问题的。但是,倘若我的需求是:要求恢复到原来的Cookie里保存数据呢?呵呵,这种情况,倘若服务器端没有做特殊的处理的话,显然是很难实现的。在尝试了许多方法之后,我们最后选择使用FlashCookie技术来做。
大家好,又见面了,我是你们的朋友全栈君。前言: 在我负责的一个项目中,为了实现一个特殊的需求,要求在客户端的Cookie中长久保存一份数据,但是我们知道在客户端Cookie里保存数据是不稳 定的,因为用户可能随时会清除掉浏览器的Cookie,在这种情况下,一般的解决方案是重新向服务器端发送一个请求,以获得一个新的HTTP Cookie数据,并将其保存--就一般的交互需求而言,这是没有问题的。但是,倘若我的需求是:要求恢复到原来的Cookie里保存数据呢?呵呵,这种 情况,倘若服务器端没有做特殊的处理的话,显然是很难实现的。在尝试了许多方法之后,我们最后选择使用FlashCookie技术来做。
由于最近要维护公司的项目,项目里面用到了Flex技术,所以最近一直在恶补,这篇博文就将最近的学习内容,进行一下简单的总结。 无论是做web还是桌面应用,相信大家对于界面的要求已经越来越高,界面趋于大图标,扁平化,要求不断提高用户体验度高,把握好人机交互。相应的技术也层出不穷,例如:Flex,JQuery,Ajax,HTML5+CSS3等等吧。
前几天写过一篇"flash开发中如何实现界面代码分离",评论中 小-G 同学给出了更好的建议:swc ,今天试用了一下,果然比较embed swf来得更爽!同时对小-G同学表示感谢! 就拿视频播放器的
mouseEnabled mouseEnabled 属性 mouseEnabled:Boolean 语言版本: ActionScript 3.0 运行时版本: AIR 1.0, Flash Player 9, Flash Lite 4 指定此对象是否接收鼠标或其他用户输入、消息。默认值为 true,这表示默认情况下,显示列表上的任何 InteractiveObject 实例都会接收鼠标事件或其他用户输入事件。如果将 mouseEnabled 设置为 false,则实例将不接收任何鼠标事件(或其他用户输入
最近的项目涉及到flash通过socket和服务器连接,刚接触这方面的内容,遇到了flash通信时安全策略的问题,这里记录下,有遇到相同问题的同学可以参考下。
相信有很多和我一样的人,曾多次问google、问baidu、问各大论坛——如何开发游戏?开发游戏如何入门?由于游戏开发本身其复杂、庞大、涉及东西比较多,始终不得其道,最终激情无情的被时间这把杀猪刀给磨灭。之后又一次激情澎湃,又一次不了了之……
https://young-cowboy.github.io/gallery/rtmp_client/index.html,网页界面如下:
大家好,又见面了,我是你们的朋友全栈君。flash cookie是什么,有什么作用,这些不做介绍,可以在网上搜,这里主要是做一个制作和使用flash cookie的例子
技术不断演进,我们使用的编程语言也不例外。随着人工智能的日益普及以及它对这些语言的使用方式的影响,我们更加关注哪些语言将在未来与我们同在,哪些将逐渐退出舞台。
由于公司任务安排,需要笔者先去了解一下LayaAir引擎库,以用来完成公司将要启动的大数据可视化项目,需要借助LayaAir引擎实现复杂的动画。笔者花两天时间将LayaAir引擎的技术文档浏览了一遍,有了一个大致的印象。 LayaAir是一个轻量级、易上手的游戏引擎库,支持ActionScript3、TypeScript、JavaScript三种语言进行开发。同时他能够支持2D,3D,VR ,AR,时间轴动画,缓动、UI系统、粒子动画、骨骼动画、物理系统等动画构建。 LayaAir官网
ActionScript支持比JavaSctipt所支持的更新的ECMAScript标准实现版本。
随着人工智能的兴起以及对编程语言使用的影响,我们更加关注哪些语言将在未来继续流行,哪些会被淘汰。
flash player(非debugger)版本:http://get.adobe.com/cn/flashplayer/
欢迎来到新一期的“This Month in Rust OSDev”。在这些帖子中,我们将定期概述Rust操作系统开发生态系统中的显著变化。
同源策略 影响源的因素:host,子域名,端口,协议 a.com通过以下代码:
CSRF——攻击与防御 author: lake2 0x01 什么是CSRF攻击 CSRF是Cross Site Request Forgery的缩写(也缩写为XSRF),直译过来就是跨站请求伪造的意思,也就是在用户会话下对某个CGI做一些GET/POST的事情——这些事情用户未必知道和愿意做,你能够把它想做HTTP会话劫持。 站点是通过cookie来识别用户的,当用户成功进行身份验证之后浏览器就会得到一个标识其身份的cookie,仅仅要不关闭浏览器或者退出登录,以后訪问这个站点会带上这个c
0x00 背景 撞库扫号攻击已经是Top 10 Security Risks for 2014之一,不管你的网站密码保存的额多好,但是面试已经泄露的账号密码,撞库扫号防御还是一个相当重要的环节。之前一篇普及了扫号的基本防止防范和危害。 本篇讲详细解决面对技术同步在进步的黑色产品如何更好地防止撞库扫号。由于涉及相关内部策略,也只是抛砖引玉。 撞库扫号,无非是自动化或者脚本化执行用户名密码来进行登陆,通过页面跳转302状态或者返回特征及包的大小,是否重新set-cookies来判断是否登陆成功。 那么可以通过哪
今天要写一个生成json的方法,目的是将VO对象中的所有公共属性和值转换成一个json对象,这个类中20多个属性,手动拼的话,是个体力活,并且有其它的对象也要转成json,还要手动拼,脑袋里最先想到的就是反射。
describeType函数在adobe官方在线文档上的定义如下:生成描述ActionScript对象(命令为方法的参数)的XML对象,此方法实现ActionScript语言的反射编程概念。
现在 Google 也推出了 Swiffy,免费把 SWF 格式转换为 HTML5 代码。
Flex SDK是Flex的开发工具包,用于编译Flex程序,Flash Builder也集成了Flex SDK。Flex SDK的免费的,编程者可以在任何文本编辑器上编辑MXML和ActionScript代码,然后在命令行对文件进行编译,但Flash Builder是商业化产品,是收费的。
原理跟Silverlight中的几乎如出一辙(见Silverlight如何与JS相互调用): ActionScript3代码: btnCallJs.addEventListener(MouseEvent.CLICK,fnCallJs); function fnCallJs(e:MouseEvent):void { trace("准备调用..."); //调用js中的JsHello方法,并将返回值显示到Label中 lblResult.text=ExternalInterface.call("JsHe
做测试这一行,总有一道绕不过去的坎就是定位bug,这其实是非常花费时间的。也许有很多人不以为然,觉得无非就是发现bug后提交bug管理系统,描述操作步骤,预期结果和实际结果哪里不一致,然后继续测试。并不是说这样做的不对,只是说这样做的不够好,看似节约了测试时间,实则对于项目的进度没有起到应有的推动作用。学会定位原因也是自我提升的一个过程
领取专属 10元无门槛券
手把手带您无忧上云