5up3rh3iblog
前段時間在gareth heyes的微薄上看到一條資訊:
這個可以在webkit下工作...,又是一條新的xss規則。於是測試了下qqmail、和126mail都可以工作[qqmail現在已經fix了]。
奇怪的是,gareth heyes是怎麼發現這個的呢?fuzz?
於是我用我以前搞的指令碼跑了一下,很奇怪跑出來的裡根本沒有code這個屬性!!! 於是我繼續跑了一下可以呼叫flash
的有code。不過:
執行不了!!
我以前的指令碼因為是單一對tag的atts跑的,所以沒有得到「embed--code」這個! 於是我修改了一下,先把所有的tag的atts跑出來
然後乙個乙個tag去跑這些atts得到呼叫flash的策略如下:
chrome
embed-->code
embed-->src
object-->data
safari
embed-->code
embed-->src
object-->data
iframe-->src
firefox
embed-->src
object-->data
iframe-->src
ie8embed-->src
opera
embed-->src
object-->data
iframe-->src
可惜沒有新的發現... 不過值得注意的乙個細節就是iframe的訪問 :)
flash 呼叫 指令碼 Flash指令碼 瀑布效果
flash 呼叫 指令碼 download the sample files here.1.import an image of a wate ll into flash.1.將瀑布圖匯入flash。2.set this picture as your background,name it,and ...
flash 呼叫 指令碼 Flash指令碼 星空效果
flash 呼叫 指令碼 creating a starfield effect is easy to begin,download the sample files here.1.create a small star shape,and convert it to a movie clip.gi...
flash 呼叫 指令碼 Flash指令碼 彈簧效果
flash 呼叫 指令碼 download the sample files here.1.create any object of your choice,and convert it to a movie clip.1.建立您選擇的任何物件,然後將其轉換為影片剪輯。2.give it an in...