Um arquivo crossdomain.xml excessivamente permissivo em um domínio que oferece conteúdo confidencial é um grande risco de segurança. Ele expõe o domínio que hospeda o arquivo crossomain.xml configurado incorretamente à divulgação de informações e à falsificação de solicitações. Os invasores não podem apenas forjar solicitações, eles podem ler as respostas. Isso significa que o invasor pode recuperar qualquer informação à qual o usuário autenticado tenha acesso, incluindo informações de conta, documentos e arquivos e tokens anti-CSRF, se forem usados.
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE cross-domain-policy SYSTEM " http://www.adobe.com/xml/dtds/cross-domain-policy.dtd ">
<cross-domain-policy>2 <site-control allowed-cross-domain-policies="by-content-type"/>3 <allow-access-from domain="*" secure="false"/>4 < allow-http-request-headers-from domain="*" headers="*"/>5</cross-domain-policy>6=================== ==================================================== ============
A vulnerabilidade
Como regra geral, se as três condições a seguir forem atendidas, há um problema:
Um arquivo crossdomain.xml é hospedado na raiz do host, por exemplo: wwwsecret-site.com/crossdomain.xml .
O crossdomain.xml é excessivamente permissivo.
Existem informações confidenciais em wwwsecret-site.com ou ações confidenciais que podem ser realizadas em wwwsecret-site.com .
Se os itens 1 e 2 forem atendidos, mas wwwsecret-site.com não contém nenhuma informação confidencial ou não inclui a capacidade de executar nenhuma ação confidencial, não há risco de ter um arquivo crossdomain.xml totalmente aberto. Não adianta fazer uma vítima fazer um pedido a uma página para você se as informações são todas públicas e você consegue ver tudo de qualquer jeito.
No entanto, se houver ações confidenciais que possam ser executadas ou informações que possam ser roubadas, e wwwsecret-site.com tiver um arquivo crossdomain.xml excessivamente permissivo, o aplicativo em wwwsecret-site.com está essencialmente abrindo a porta para qualquer SWF malicioso carregado de qualquer lugar na web. Por exemplo, um SWF carregado dewww.malicious-site.com agora pode substituir/ignorar a política de mesma origem e obter acesso a tudo o que o usuário autorizado de wwwsecret-site.com tem acesso. Para dizer isso de uma maneira diferente, o arquivo crossdomain.xml excessivamente permissivo permite que o Flash faça coisas que nem o JavaScript tem permissão para fazer, principalmente acessar recursos entre domínios.
Observação: a opção de configuração mais permissiva é a seguinte linha: <allow-access-from domain="*">. Essa não é a única configuração excessivamente permissiva. Confira os documentos de referência listados acima para saber mais.
Observação: os sites de API que exigem uma chave pré-compartilhada são uma exceção às condições listadas acima. Nesse caso, mesmo quando todas as três condições forem atendidas, se wwwsecret-site.comrequer uma chave de API ou algo semelhante para acessar o conteúdo, não há risco. O invasor não tem como saber a chave de API secreta pré-compartilhada e, portanto, não pode forjar uma solicitação com todas as informações necessárias para explorar o permissivo crossdomain.xml.
Observação: em meus exemplos, uso www como nome do host ( wwwsecret-site.com ). As implicações de segurança do crossdomain.xml são específicas para o nome de domínio totalmente qualificado, incluindo nome do host e/ou subdomínio, se estiverem presentes. Por exemplo, se https://www.secret-site.com/crossdomain.xml contiver <allow-access-from domain="*">, mas todas as transações confidenciais acontecerem em https://secure.secret- site.com , não há risco. Claro sehttps://secure.secret-site.com/crossdomain.xml existe e também tem uma política excessivamente permissiva, então estamos de volta aos negócios.
Também consegui encontrar muitas dessas vulnerabilidades com essa ferramenta e você também pode se beneficiar.
Link da ferramenta: https://github.com/codeb0ss/cross-d...w … oss-domain policy arquivo exploiter.rar