(转载翻译)OWASP v5 4.2.8 测试RIA跨域策略

nicky   ·   发表于 2020-04-08 20:35:48   ·   技术文章投稿区

概要

富互联网应用系统已经采用Adobe的crossdomain.xml策略文件,可以允许使用Oracle,Java,Silverlight和Adobe Flash等技术对数据和服务使用进行受控的跨域访问。因此,域可以授予从另一个域对其服务的远程控制访问。但是,通常描述访问限制的策略文件配置都会有点小毛病。配置不当的话可能会导致XSS攻击,并允许第三方访问敏感数据。

什么是跨域策略文件

跨域策略文件会指定WEB客户端(比如JAVA,Adobe Flash, Adobe Reader等)用于跨不同域访问数据的权限。对于Silverlight, Microsoft采用了Adobe的crossdomian,xml子集,并另外创建了其它的跨域策略文件:clientaccesspolicy.xml。

每当客户端检测到必须从其它网站请求资源时,WEB客户端首先会在目标网站中查找策略文件,来确定是否运行执行跨域请求的连接。

主策略文件位于网站的根目录。可以指示客户端加载不同的策略文件,但是它将首先检测主策略文件,确保主策略文件允许请求的文件。

Crossdomain.xml vs Clientaccesspolicy.xml

大多数RIA应用程序都支持crossdomain.xml。但是对于Silverlight而言,之只有在crossdomain.xml指定允许从任何访问的时候才可以起作用。为了使Silverlight进行跟明确的控制,必须使用clientaccesspolicy.xml。

策略文件授予几种类型的权限:
接受的策略文件
socket权限
请求头权限
HTTP/HTTPS访问权限
允许基于密码登录的访问

比如下面的例子:

跨域策略文件如何被滥用

1.过度宽松的跨域策略
2.生成可能被视为跨域策略文件的服务器响应
3.使用文件上传功能可能被认为跨域策略文件

跨域访问的影响

1.打赢CSRF防护
2.读取受跨域策略保护的数据

测试方法

测试RIA策略文件的弱点

为了测试RIA策略文件的弱点,渗透测试热暖可以尝试从应用程序的根目录来找找crossdomain.xml和clientaccesspolicy.xml。

比如如果应用程序的URL是http://www.owasp.org 则可以直接在网站搜索http://owasp.org.crossdomain.xml 或者http://owasp.org.clientaccesspolicy.xml 直接下载。
例子:

转载:https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/02-Configuration_and_Deployment_Management_Testing/08-Test_RIA_Cross_Domain_Policy.md

用户名金币积分时间理由
奖励系统 100.00 0 2020-07-21 15:03:30 投稿满 10 赞奖励
奖励系统 50.00 0 2020-04-26 19:07:49 投稿满 5 赞奖励

打赏我,让我更有动力~

1 Reply   |  Until 2020-7-21 | 629 View

kidll
发表于 2020-7-21

大佬 太强了·~
雪梨师傅 给力给力

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2022 掌控者 All Rights Reserved.