Clever Geek Handbook

あなたはあまり知らない-より良く眠る、またはコンテキストから情報を引き出すのをやめる

基本的なバグAdobe Flashでは修正できない 」などの見出しに驚いたのは、私だけではありません。 なんとなくキロメートルあたりの黄ばみであり、著者が自分が正確に何を書いているのか全くわからないことは明らかです。 主なことは、「Adobe Flash」とネガティブなサブテキストがあり、それらの組み合わせが、パブロフの犬のように、Habrasocietyの特に活発な部分で唾液が目立ち始めることです。



そして、仲間のコメンテーターのほとんどはそれを知らないと確信しています

  1. これはバグではありません。
  2. これはフラッシュの脆弱性ではありません
  3. これは非常にbeのある脆弱性です。


しかし、いや、とにかく... AAAA NEW BAG FLASHはPANICAAAAAとして修正されません!!! 11



紳士のような人を感情的に見ます。 あなたの知識は取るに足らないものであり、あなたは幸せな無知にいるからです。 ある時点での彼の人生の人は、「あなたはより少なく知っている、よりよく眠る」ということわざの意味を理解しています。 この「基本的なフラッシュバグ」は氷山の一角でもありません。水中の部分については知らないかもしれませんが、叫ぶことを望みます。



インターネットや特別な文献を半日かけて掘り下げると、危険は実際にはすべての段階にあることを理解できます。ほとんどの場合、それについては知らず、鉄やソフトウェアを穴や割れ目のない石の壁に取ります。 この脆弱性は、 クロスサイトスクリプティングの脆弱性の巨大なファミリの一部にすぎません。すでに100万件がクローズされており、多くの人がこの件について広まっています。 XSSは、クライアントで実行されるほとんどすべての対象となります。 まず、JavaScript。これを介して、他のクライアントテクノロジーがフラッシュ、Java、cervelatなどの穴をクロールします。



サーバーにダウンロードされたファイルを確認するための101mの方法を知っていますか? たとえば、GIF + JAR(別名zip)、PDF + JARを組み合わせると、このファイルは有効なpdfと有効なjarになりますか? 巨大なセキュリティホールを通過する下書きがまだブラウザで使用されていることをご存知ですか? 初心者によって作成され、すべての側面に穴がたくさんあるサイトの束は言うまでもなく、あなたはあなたの個人情報とクレジットカード番号でそれらを信頼します。 Googleをだまして、 悪意のある企業からでもパスワードを引き出す方法がたくさんあることをご存知ですか? firefoxに保存されたパスワードが単純に取り出されることを知っていますか?



これはまだ私たちが住んでいる脆弱性の膨大なリストの始まりではないことをご存知ですか? なぜあなたはまだ生きているのですか? はい、誰もあなたを必要としないので。 まだ必要ありません。



そして、なぜですか? ひげを生やした年になることを恐れて登場した主なプロトコルは完全に保護されていないため、ネットワークのソースのどこかですべての問題の根本を明らかにすることは可能だと思います。 なんで? しかし、オンラインバンキングを行うと言った人は誰でも、すぐに笑われるでしょう。 そして、必要に応じて、彼らは彫刻を始め、あらゆる種類のポリシーを思いつきました。



PS脆弱性のフラッシュ部分に関しては、フラッシュをアップロードできるフォーラムで、ある年、ひげを生やした2000年に同じCookieの盗難を行いました。 ここには新しいものは何もありません。



PPSは、脆弱性がどのように機能するかを説明するよう求められました。 要するに、XSSの脆弱性は、攻撃されたドメインの保護されたゾーンでの誰か他の悪意のあるクライアントコードの実行に基づいています。 セキュリティシステムは、example.comドメインから何かが実行されているため、それがネイティブであり、このドメインからの情報全体に安全にアクセスできると考えています。 悪意のあるコードを何とかしてやっつけるだけです。 インターネット上のXSSについて読んでください。



記事に記載されている内容と、フラッシュとの関係。 それは他のすべてのものと同じ方法で適用され、フラッシュのためだけに耳に描かれます。 そこで、これを許可するサイトにSWFをアップロードします。 許可されない場合は、別のふりをして同じSWFに入力します(ふりをする方法を正確には書きません。たくさんうそをつくのが怖いので、実験する必要があるからです)。 したがって、このSWFがアップロードフォルダーのexample.comドメインに移動する場合、このSWFはこのドメインにネイティブであると見なされます。 誰かが、コンテンツがexample.comドメインから公開されている場合、サイト管理者だけがそこに置くことができると提案しました(笑)。 私の悪意のあるSWFは、javascriptを介して環境全体にアクセスできます。 allowscriptaccess = neverおよびallownetworking = neverなしでexample.comのどこかに表示される場合、すぐにggになります。 しかし、前述の記事の著者は、SWFがexample.comにあり、何らかの形でネイティブであるが、左側のURLで呼び出されることを示しています。 つまり、Vasyaはここに来るようなリンクを送信し、example.comのCookieにアクセスできるこのSWFを確認します。 考えは明確ですか? example.comを好きなものに置き換えて、パニックします。 しかし、やらなければならないことは、迷惑メールをbarahlo.example.comドメインにロードするだけです。これは機能しません。


More articles:


All Articles