WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Chính sách Cross-Domain cho Flash không an toàn, người dùng 1/10 website bị lợi dụng
Chuyên gia Julio Cesar Fort đã nghiên cứu cách 10.000 trang web hàng đầu (theo Alexa) xử lý chính sách cross-domain (chính sách chéo domain) của Flash và chỉ ra gần 10% các trang web này có các chính sách không an toàn có thể dẫn tới việc người dùng bị lạm dụng.
Same-Origin Policy (SOP) là một phần quan trọng trong hoạt động của các trình duyệt Web, được thiết lập để bảo vệ người dùng và tránh việc bị hacker sử dụng các script tải vào domain X nhằm tấn công người dùng trong quá trình truy cập domain Y.
Dù các trình duyệt đã triển khai SOP trong nhiều năm thì vẫn có cách cho ứng dụng Flash kiểm soát những người có thể tải hoặc truy cập tài nguyên Flash bằng cách sử dụng file crossdomain.xml.
File này có thể được hacker sử dụng để thực hiện tấn công CSRF thông qua ứng dụng Flash độc, ghi đè các ứng dụng chống CSRF được đưa vào trong trình duyệt Web.
31% website có tập tin crossdomain.xml
Muốn xem website nào không an toàn, Fort đã quét 10.000 site trên Internet để phát hiện file crossdomain.xml. Nghiên cứu của ông cũng chỉ ra 3.119 site đặt file này trong root domain.
Trong file này, các quản trị web có thể khai báo các website được phép truy cập tài nguyên của họ thông qua các tag XML “cho phép truy cập từ”. File này hỗ trợ kê khai ký tự dưới dạng "* .domain.com.".
Điều này được cho là hoạt động không an toàn bởi hacker đôi khi có thể truy cập được vào một sub-domain, hoặc thậm chí thiết lập sub-domain trên các dịch vụ bị lây nhiễm sau đó sử dụng nó để thực hiện tấn công CSRF thông qua file crossdomain.xml.
Theo: Softpedia
Same-Origin Policy (SOP) là một phần quan trọng trong hoạt động của các trình duyệt Web, được thiết lập để bảo vệ người dùng và tránh việc bị hacker sử dụng các script tải vào domain X nhằm tấn công người dùng trong quá trình truy cập domain Y.
Dù các trình duyệt đã triển khai SOP trong nhiều năm thì vẫn có cách cho ứng dụng Flash kiểm soát những người có thể tải hoặc truy cập tài nguyên Flash bằng cách sử dụng file crossdomain.xml.
File này có thể được hacker sử dụng để thực hiện tấn công CSRF thông qua ứng dụng Flash độc, ghi đè các ứng dụng chống CSRF được đưa vào trong trình duyệt Web.
31% website có tập tin crossdomain.xml
Muốn xem website nào không an toàn, Fort đã quét 10.000 site trên Internet để phát hiện file crossdomain.xml. Nghiên cứu của ông cũng chỉ ra 3.119 site đặt file này trong root domain.
Trong file này, các quản trị web có thể khai báo các website được phép truy cập tài nguyên của họ thông qua các tag XML “cho phép truy cập từ”. File này hỗ trợ kê khai ký tự dưới dạng "* .domain.com.".
Điều này được cho là hoạt động không an toàn bởi hacker đôi khi có thể truy cập được vào một sub-domain, hoặc thậm chí thiết lập sub-domain trên các dịch vụ bị lây nhiễm sau đó sử dụng nó để thực hiện tấn công CSRF thông qua file crossdomain.xml.
Theo: Softpedia
Chỉnh sửa lần cuối bởi người điều hành: