Rosetta Flash — кодирование SWF для вызова из JSONP

Все блоги / Про интернет 13 июля 2014 5 359  

Michele Spagnuolo, специалист по безопасности Google, написал утилиту, которая может закодировать любой SWF-файл любым словарем.
Зачем это нужно? Все очень просто — такой файл можно передать в качестве параметра callback в JSONP на сайте, с которого вам нужно получить информацию, таким образом, вы сможете обойти Same Origin Policy.
Эта проблема была достаточно давно известна, однако, ей не уделяли особого внимания именно из-за того, что получить SWF-файл, состоящий только из символов, которые можно задать как параметр callback, было крайне сложно, однако, сейчас такой инструмент появился.
Утилита использует zlib, алгоритм Хаффмана и брутфорс контрольной суммы ADLER32.

Из крупных сервисов, были уязвимы:

Сервисы Google (accounts.google.com, books.google.com, maps.google.com)

Youtube

Ebay

Instagram

Twitter

Tumblr

Olark

Читать дальше →

  • Оцените публикацию
    • 0

Похожие публикации



В ICQ найдена уязвимость: к файлам, которые передавались через IM мессенджер, может получить доступ любой человек

В ICQ найдена уязвимость: к файлам, которые передавались через IM мессенджер, может получить доступ любой человек

Блогер ntv сообщает о найденной уязвимости в протоколе iCQ. Не просто «уязвимости», а, простите, целой дыре. Необходимо напомнить, что ICQ уже порядка 2 с лишним лет принадлежит холдингу Mail.ru. Выяснилось, что к файлам, которые пересылают пользователи, получить доступ может любой...

13 января 2013 подробнее »

В ICQ найдена уязвимость: к файлам, которые передавались через IM мессенджер, может получить доступ любой человек

В ICQ найдена уязвимость: к файлам, которые передавались через IM мессенджер, может получить доступ любой человек

13 января 2013 Блогер ntv сообщает о найденной уязвимости в протоколе iCQ. Не просто «уязвимости», а, простите, целой дыре. Необходимо напомнить, что ICQ уже порядка 2 с лишним лет принадлежит холдингу Mail.ru. Выяснилось, что к файлам, которые пересылают пользователи, получить доступ может любой...

подробнее »


В ICQ найдена уязвимость: к файлам, которые передавались через IM мессенджер, может получить доступ любой человек

Блогер ntv сообщает о найденной уязвимости в протоколе iCQ. Не просто «уязвимости», а, простите, целой дыре. Необходимо напомнить, что ICQ уже порядка 2 с лишним лет принадлежит холдингу Mail.ru. Выяснилось, что к файлам, которые пересылают пользователи, получить доступ может любой...

13 января 2013 подробнее »



В ICQ найдена уязвимость: к файлам, которые передавались через IM мессенджер, может получить доступ любой человек

В ICQ найдена уязвимость: к файлам, которые передавались через IM мессенджер, может получить доступ любой человек

Блогер ntv сообщает о найденной уязвимости в протоколе iCQ. Не просто «уязвимости», а, простите, целой дыре. Необходимо напомнить, что ICQ уже порядка 2 с лишним лет принадлежит холдингу Mail.ru. Выяснилось, что к файлам, которые пересылают пользователи, получить доступ может любой...

12 января 2013 подробнее »

В ICQ найдена уязвимость: к файлам, которые передавались через IM мессенджер, может получить доступ любой человек

В ICQ найдена уязвимость: к файлам, которые передавались через IM мессенджер, может получить доступ любой человек

12 января 2013 Блогер ntv сообщает о найденной уязвимости в протоколе iCQ. Не просто «уязвимости», а, простите, целой дыре. Необходимо напомнить, что ICQ уже порядка 2 с лишним лет принадлежит холдингу Mail.ru. Выяснилось, что к файлам, которые пересылают пользователи, получить доступ может любой...

подробнее »


В ICQ найдена уязвимость: к файлам, которые передавались через IM мессенджер, может получить доступ любой человек

Блогер ntv сообщает о найденной уязвимости в протоколе iCQ. Не просто «уязвимости», а, простите, целой дыре. Необходимо напомнить, что ICQ уже порядка 2 с лишним лет принадлежит холдингу Mail.ru. Выяснилось, что к файлам, которые пересылают пользователи, получить доступ может любой...

12 января 2013 подробнее »



Веб-разработка / [Ссылка] Google Swiffy — конвертер SWF в HTML5

Веб-разработка / [Ссылка] Google Swiffy — конвертер SWF в HTML5

Google Swiffy конвертирует Flash SWF файлы в HTML5, что позволяет переиспользовать Flash-контент на устройствах без Flash-плеера (например, iPhone или iPad). На текущий момент, поддерживается подмножество SWF 8 и ActionScript 2.0. Swiffy использует особенности SVG, которые сейчас поддерживаются...

29 июня 2011 подробнее »

Веб-разработка / [Ссылка] Google Swiffy — конвертер SWF в HTML5

Веб-разработка / [Ссылка] Google Swiffy — конвертер SWF в HTML5

29 июня 2011 Google Swiffy конвертирует Flash SWF файлы в HTML5, что позволяет переиспользовать Flash-контент на устройствах без Flash-плеера (например, iPhone или iPad). На текущий момент, поддерживается подмножество SWF 8 и ActionScript 2.0. Swiffy использует особенности SVG, которые сейчас поддерживаются...

подробнее »


Веб-разработка / [Ссылка] Google Swiffy — конвертер SWF в HTML5

Google Swiffy конвертирует Flash SWF файлы в HTML5, что позволяет переиспользовать Flash-контент на устройствах без Flash-плеера (например, iPhone или iPad). На текущий момент, поддерживается подмножество SWF 8 и ActionScript 2.0. Swiffy использует особенности SVG, которые сейчас поддерживаются...

29 июня 2011 подробнее »

Реклама на сайте



@

  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent







Архив публикаций

Ноябрь 2017 (580)
Октябрь 2017 (1080)
Сентябрь 2017 (1065)
Август 2017 (1311)
Июль 2017 (1093)
Июнь 2017 (1055)