正在加载...

http://aw.awflasher.com/SWF2DOM/
先看Demo(大家可以点击Run@XML) ~ 稍候分析安全性以及应用前景。

运行方式:
一、从XML
二、从SWF Locally
第二个文本框,自己输入,例如
alert(1);
或者DOM操纵都可以。

安全性以及应用前景:
一、突破各大BSP的JS封锁以及机动性的js执行
二、一些小的页面效果,或者愚人节效果-_-#
三、利用这样的方式去调用XMLHTTP是否会有安全隐患,尤其是一些人品不好的Flasher利用之
四、还没有想好,欢迎补充

补充:
一个BT的玩法
http://aw.awflasher.com/swf2dom/main.swf 居然也可以进行一些DOM操作-_-

刚才去sohublog测试了,发现allowScriptAccess="*"被无情的过滤掉……绝望中一位sohublog的工作人员(暂时略去姓名哈)从QQ提醒我,用Flash8的ExternalAPI去调eval……orz啊!
可惜,仍然不行,我想也是,Adobe没那么粗心啊,如果ExternalAPI的安全性还不达不到7的产品……那……唉!失望至极……

更可恶的是,得到一个令人绝望的消息……

引用自 sohublog某某某~~
sohublog某某某 18:08:00
要是sameDomain就不行了
sohublog某某某 18:08:15
以后我们把allowNetwork也加上
sohublog某某某 18:08:24
你连getURL都用不了
sohublog某某某 18:08:25
哈哈
还没找到您要的东西?Google试试看吧,
Google更注重原创、时效性好的文章:


本文相关评论: 才 9 条评论
  1. natson 2006-12-19 04:54:54

    写入,document.getElementsByTagName("object")[0].innerHTML="something"。报错。

  2. natson 2006-12-19 04:55:44

    可能这么写本身就有问题。

  3. aw 2006-12-19 05:02:25

    Flash并没有通过obj嵌入,另一方面embed标签似乎不支持innerHTML这个方法~
    我知道你要的效果,你看这个
    document.getElementById("testdiv").innerHTML="";

  4. realdodo 2006-12-19 05:37:40

    嗯,不错~~~~
    我原来一直是用IE的CSS特性来突破js限制呢,当然,那个在其他浏览器下完全失效~
    [cool]

  5. aw 2006-12-19 05:54:23
    引用自 realdodo
    我原来一直是用IE的CSS特性来突破js限制呢,当然,那个在其他浏览器下完全失效~
    [cool]

    强烈要求提供相关的突破思路。我不太清楚……

  6. realdodo 2006-12-19 07:14:31
    引用自 aw
    强烈要求提供相关的突破思路。我不太清楚……

    嗯……这个东西……最好不要公开的说,滥用不好…… [cool]

  7. aw 2006-12-19 07:34:28
    引用自 realdodo
    嗯……这个东西……最好不要公开的说,滥用不好……
    [cool]

    没关系,不是你的错,是IE的错……哦……不过你是MS的人了~可以理解~咔咔

  8. david 2007-06-14 12:26:38

    用css的expression,这个还是慎用得好,expression是不停的循环,很耗资源。

  9. aw 2007-06-14 12:31:11

    dodo是说去hack xiaonei.com,哈哈。
    不过似乎xiaonei的人把expression给喀嚓了~

[支持Ctrl+Enter]为了我们大家和家人的安全,留言请慎重!
声明:
1、本站仅与见过面的个人博客交换链接,见此文
2、留言时的头像是Gravatar提供的服务。如果您有兴趣并且有闲暇时间,可以看看这里的介绍