不安全的客户端访问策略
low Web App Scanning 插件 ID 98065
语言:
简介
不安全的客户端访问策略描述
浏览器安全模型通常会阻止一个域的 Web 内容访问另一个域的数据。这通常称为“同源策略”。URL 策略文件会授予读取数据的跨域权限。它们允许执行默认不允许的操作。默认情况下,Silverlight 的 URL 策略文件位于目标服务器的 root 目录中,文件名为 `ClientAccessPolicy.xml`(例如,位于 `www.example.com/ClientAccessPolicy.xml` 中)。
在 `ClientAccessPolicy.xml` 中指定域时,该站点声明愿意允许该域中任何服务器的操作员获取策略文件所在服务器上的任何文档。
部署在此网站上的 `ClientAccessPolicy.xml` 文件可向所有域开放服务器(支持使用单个星号“*”作为纯通配符),并且可能允许通过依赖于应用的配置的 HTTP 访问 HTTPS 资源,从而可能将本应通过 HTTPS 保护的数据共享给第三方,便于发动中间人攻击。
解决方案
仔细评估将允许哪些站点进行跨域调用。如果允许 http://* 通配符,则评估对传输的任何数据的影响。
考虑将受到跨域策略之配置或实现影响的网络拓扑信息和任何身份验证机制。
另见
https://msdn.microsoft.com/en-us/library/cc197955%28v=vs.95%29.aspx
https://www.owasp.org/index.php/Test_Cross_Origin_Resource_Sharing_%28OTG-CLIENT-007%29
插件详情
严重性: Low
ID: 98065
类型: remote
系列: Web Applications
发布时间: 2017/3/31
最近更新时间: 2021/11/26
扫描模板: api, basic, full, pci, scan
风险信息
VPR
风险因素: Low
分数: 1.4
CVSS v2
风险因素: Low
基本分数: 2.6
矢量: CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:N
CVSS 分数来源: Tenable
CVSS v3
风险因素: Low
基本分数: 3.1
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVSS 分数来源: Tenable
参考资料信息
OWASP: 2010-A6, 2013-A5, 2017-A6, 2021-A5
WASC: Application Misconfiguration
DISA STIG: APSC-DV-000500
HIPAA: 164.306(a)(1), 164.306(a)(2)
ISO: 27001-A.14.2.5
NIST: sp800_53-CM-6b
OWASP API: 2019-API7, 2023-API8
PCI-DSS: 3.2-6.5.9