Crossdomain.xml Zafiyeti

Bir senaryo üzerinden bakalım. İki site düşünelim, abc.com ve xyz.com olsun. abc.com adresi içerisinde flash dosyası bulunduruyor olsun. Flash dosyaları istek gönderebilirler.
xyz.com adresi de flash dosyalarının isteklerine izin veriyorsa abc.com sitesi, kendisine gelen kullanıcının xyz.com adresindeki tüm bilgilerine ulaşabilir.

Buradaki zafiyet xyz.com adresinin tüm flash isteklerini kabul etmesindendir. İzinlerin belirtildiği yer crossdomain.xml dosyasıdır.

<cross-domain-policy>
<site-control permitted-cross-domain-policies="master-only"/>
<allow-access-from domain="*"/>
</cross-domain-policy>

Burada allow-access-from domain ayarı yıldız(*) ile tüm isteklere izin verilmiştir. Dolayısıyla zararlı flash dosyaları barındıran siteler, kendilerine gelen kullanıcıların bilgilerine bu zafiyet sayesinde ulaşabilirler.

Crossdomain.xml Saldırılarından Nasıl Korunabiliriz?

Flash dosyaları artık tarayıcılar tarafından desteklenmiyor. Dolayısıyla flash izinleri için bu dosyayı hiç bulundurmayabilirsiniz. Eğer flash için izinler vermenizi gerektirecek bir proje yapıyorsanız, whitelist yapmalı, izin vereceğiniz adresleri tek tek belirtmelisiniz.