(转载翻译)OWASP v5 4.2.8 测试RIA跨域策略

概要

富互联网应用系统已经采用Adobe的crossdomain.xml策略文件，可以允许使用Oracle,Java,Silverlight和Adobe Flash等技术对数据和服务使用进行受控的跨域访问。因此，域可以授予从另一个域对其服务的远程控制访问。但是，通常描述访问限制的策略文件配置都会有点小毛病。配置不当的话可能会导致XSS攻击，并允许第三方访问敏感数据。

什么是跨域策略文件

跨域策略文件会指定WEB客户端(比如JAVA,Adobe Flash, Adobe Reader等)用于跨不同域访问数据的权限。对于Silverlight, Microsoft采用了Adobe的crossdomian,xml子集，并另外创建了其它的跨域策略文件:clientaccesspolicy.xml。

每当客户端检测到必须从其它网站请求资源时，WEB客户端首先会在目标网站中查找策略文件，来确定是否运行执行跨域请求的连接。

主策略文件位于网站的根目录。可以指示客户端加载不同的策略文件，但是它将首先检测主策略文件，确保主策略文件允许请求的文件。

Crossdomain.xml vs Clientaccesspolicy.xml

大多数RIA应用程序都支持crossdomain.xml。但是对于Silverlight而言，之只有在crossdomain.xml指定允许从任何访问的时候才可以起作用。为了使Silverlight进行跟明确的控制，必须使用clientaccesspolicy.xml。

策略文件授予几种类型的权限:
接受的策略文件
socket权限
请求头权限
HTTP/HTTPS访问权限
允许基于密码登录的访问

比如下面的例子:

跨域策略文件如何被滥用

1.过度宽松的跨域策略
2.生成可能被视为跨域策略文件的服务器响应
3.使用文件上传功能可能被认为跨域策略文件

跨域访问的影响

1.打赢CSRF防护
2.读取受跨域策略保护的数据

测试方法

测试RIA策略文件的弱点

为了测试RIA策略文件的弱点，渗透测试热暖可以尝试从应用程序的根目录来找找crossdomain.xml和clientaccesspolicy.xml。

比如如果应用程序的URL是http://www.owasp.org 则可以直接在网站搜索http://owasp.org.crossdomain.xml 或者http://owasp.org.clientaccesspolicy.xml 直接下载。
例子:

转载:https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/02-Configuration_and_Deployment_Management_Testing/08-Test_RIA_Cross_Domain_Policy.md