web渗透--56--Flash跨域访问漏洞
鲜于光辉
1、漏洞描述:
不正确的crossdomain.xml策略将导致严重的安全问题,如信息泄露、CSRF等,如下几种是跨域漏洞所产生的常见几种不正确设置:
1:permitted-cross-domain-policies为all造成加载目标域上的任何文件作为跨域策略文件,甚至是一个JPG也可被加载为策略文件。
2:allow-access-from设为" * "任何的域,有权限通过flash读取本域中的内容,表示匹配所有域和所有IP地址,此时任何域均可跨域访问本域上的内容。
3:allow-http-request-headers-from header设个" * "允许发送任何消息头。
2、检测条件:
已知Web网站外泄crossdomain.xml文件。
3、检测方法
1、打开网站并且进行信息收集。
2、手工或者利用web扫描工具,找到crossdomain.xml文件,查看其配置。如果出现如下配置,则说明存在该漏洞。
<?xml version="1.0"?>
<cross-domain-policy
类似资料: