Per i siti di upload degli utenti non attendibili: quale dovrebbe essere il contenuto di crossdomain.xml e clientaccesspolicy.xml?

Naviga le tue risposte
2

Flash ha una lunga storia di ignorare i tipi di file MIME e di leggere il file direttamente per il contenuto eseguibile o per le autorizzazioni di esecuzione tra domini. Ciò significa che un utente malintenzionato può trarne vantaggio per creare difetti XSS nello stesso dominio dei miei altri servizi protetti.

Dato che non utilizzerò il flash dal mio sito e la presenza di un documento flash nello stesso dominio causerà un rischio per la sicurezza, voglio bloccare tutte le azioni XSS avviate da Flash.

Qual è il contenuto consigliato di crossdomain.xml o clientaccess.xml ?

    
posta random65537 05.03.2012 - 02:18
fonte

2 risposte

1

Per quanto riguarda i problemi relativi a Flash, ogni sito che non utilizza Flash deve utilizzare uno dei due file nella directory principale del server Web denominato crossdomain.xml . Ciò impedirà l'XSS tramite quel plugin 

<?xml version="1.0"?>
<!DOCTYPE cross-domain-policy SYSTEM  
 "http://www.adobe.com/xml/dtds/cross-domain-policy.dtd">

<cross-domain-policy xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="http://www.adobe.com/xml/schemas/PolicyFile.xsd">
  <site-control permitted-cross-domain-policies="master-only"/>
</cross-domain-policy>

La direttiva "Solo master" impedisce la lettura di qualsiasi altro file, anche se ha il tipo di contenuto corretto. Il tipo MIME di questo file deve essere text/x-cross-domain-policy

    
risposta data 05.03.2012 - 02:21
fonte
1

Se sei preoccupato per gli utenti che caricano swfs potresti anche voler impostare: X-Content-Type-Options: nosniff

E puoi facilmente controllare i primi pochi byte del file per determinare se è un lampo.

    
risposta data 06.03.2012 - 07:55
fonte

Leggi altre domande sui tag

Come condurre l'attacco DDoS praticamente? [duplicare] Sicurezza industriale: risorse per la conformità ISO27k, rapporti sulle tendenze di social engineering