专家深入解析跨站请求伪造漏洞(上)
2008-12-25 13:44:09 来源:WEB开发网如果使用恰当的话,Adobe的跨域策略能够比同源策略(除非在crossdomain.xml中找到匹配,否则该请求无法启动)更好地防御CSRF攻击,并且具有更高的灵活性(如果目标站点信任发起方站点即源站点的话,则允许跨域通信)。 然而,跨域策略经常被不正确使用,比如将一个目标站点放到“accept all”的条款中,这会允许第三方从任何站点(不管这个站点是善意的还是恶意的)访问它。甚至Adobe的联盟站点crossdomainxml.org的crossdomain.xml文件也出现了不适当甚至极度危险的用法:域名crossdomainxml.org被注册到TPowerSDK Software 有限公司的heodore E Patrick名下,该公司在其LinkedIn profile(http://www.linkedin.com/in/tedpatrick)中写道他们是Adobe Systems的Flex的技术布道者。 这个站点提供了“accept all ”跨域策略文件的例子,使用该文件的危险性不言自明。
安全研究人员曾经对世界500强的网站进行了分析,其中发现有143个站点使用了crossdomain.xml策略文件。而在这143个站点中,又有47个站点对来自第三方站点的链接完全接受,这可能导致CSRF漏洞。Adobe的跨域策略可能是有效和安全的,但前提是要小心使用。如果在策略文件中使用了“accept all”的话,结果是非常严重的。
八、P3P与跨站请求伪造
Cookie可用于在站点之间跟踪用户,举例来说,如果登广告者在他的服务器上寄放了一张图片(即广告),而他的服务器将被大量广告发行站点所引用。当该图像被显示时,登广告者可以设置一个cookie,这样,当同一个用户访问不同的广告发布站点时,登广告者也能认出他是同一个人。换句话说,当该用户访问一个广告发布者的站点并加载登广告者的图像时,该用户的cookie会发回给登广告者,由于该cookie是唯一的,所以登广告者能够识别该用户。登广告者可以使用这些Cookie来收集有关该用户上网的习惯的数据。
更多精彩
赞助商链接