跨域访问漏洞起因是web网站中的crossdomain.xml策略的不正确导致的
如信息泄漏,csrf等,常见的失误配置:
permitted-cross-domain-policies为所有造成加载目标域上的任何文件作为跨域策略文件,甚至是一个jpg也可以作为策略文件被加载。
allow-access-from设为 * 表示任何的域,有权限通过flash读取本域中的内容,匹配所有域和ip地址,此时任何域就都可以跨域访问本域的内容了。
如果实战中,网站泄漏了crossdomain.xml的话,我们就可以通过查看其配置来判断是否存在此问题:
<?xml version="1"?>
<cross-domain-policy>
<site-control permitted-cross-domain-policies="all" />
<allow-access-from domain="*" />
<allow-http-request-headers-from domain="*" headers="*" />
</cross-domain-policy>
如果像以上一样,基本就可以判断存在漏洞了。
修复建议:
site-control标签中,permitted-cross-domain-policies属性应该根据业务实际需求而做相应设置,属性值设置为all也很不合理。
第四行中 domain属性应该根据最小化原则按需配置,仅允许可信任的来源跨域访问本域内容,而不应该将属性设置为* 。
第五行中domain属性也应该如上设置。
来源:CSDN
作者:梦之序章
链接:https://blog.csdn.net/weixin_44398914/article/details/104069466