Зачем это нужно? Все очень просто — такой файл можно передать в качестве параметра callback в JSONP на сайте, с которого вам нужно получить информацию, таким образом, вы сможете обойти Same Origin Policy.
Эта проблема была достаточно давно известна, однако, ей не уделяли особого внимания именно из-за того, что получить SWF-файл, состоящий только из символов, которые можно задать как параметр callback, было крайне сложно, однако, сейчас такой инструмент появился.
Утилита использует zlib, алгоритм Хаффмана и брутфорс контрольной суммы ADLER32.
Из крупных сервисов, были уязвимы:
Сервисы Google (accounts.google.com, books.google.com, maps.google.com)
Youtube
Ebay
Tumblr
Olark
Читать дальше →
Источник: Хабрахабр
Источник: autoRSS
Другие материалы на сайте b.Z - Записки о гаджетах, людях и музыке