跨域访问漏洞

跨域访问漏洞起因是web网站中的crossdomain.xml策略的不正确导致的
如信息泄漏,csrf等,常见的失误配置:
permitted-cross-domain-policies为所有造成加载目标域上的任何文件作为跨域策略文件,甚至是一个jpg也可以作为策略文件被加载。
allow-access-from设为 * 表示任何的域,有权限通过flash读取本域中的内容,匹配所有域和ip地址,此时任何域就都可以跨域访问本域的内容了。

如果实战中,网站泄漏了crossdomain.xml的话,我们就可以通过查看其配置来判断是否存在此问题:


    
    
    
    
        

如果像以上一样,基本就可以判断存在漏洞了。

修复建议:
site-control标签中,permitted-cross-domain-policies属性应该根据业务实际需求而做相应设置,属性值设置为all也很不合理。
第四行中 domain属性应该根据最小化原则按需配置,仅允许可信任的来源跨域访问本域内容,而不应该将属性设置为* 。
第五行中domain属性也应该如上设置。

你可能感兴趣的:(owasp,top,10,汇总)