¿Un archivo crossdomain.xml reducirá el riesgo potencial de seguridad?

Navega tus respuestas
3

Mantengo un sitio web donde los usuarios pueden subir archivos. Ya estoy haciendo algunas buenas comprobaciones MIME, comprobaciones de coherencia, comprobaciones de virus, listas negras basadas en listas hash, otras comprobaciones personalizadas y también utilicé la mayoría de las mejores prácticas relacionadas con la funcionalidad de carga de archivos. Pero estaba pensando en el siguiente peor escenario:

Digamos que un usuario logrará cargar un archivo SWF y podrá acceder a él desde mi dominio y ejecutarlo en un navegador. ¿Puedo aislar o reducir los riesgos al agregar un archivo crossdomain.xml estricto? Solo para evitar la escalada en este escenario.

Mi sitio actualmente no utiliza ningún flash ni Silverlight y, por ese motivo, supongo que no necesito un archivo crossdomain.xml. Sin embargo, me pregunto si puedo configurar un archivo crossdomain.xml configurado de forma estricta en caso de que un usuario pueda cargar y ejecutar código malicioso (por ejemplo, mediante flash).

¡Me encantaría escuchar algunas opiniones sobre esto! Gracias de antemano!

    
pregunta Bob Ortiz 22.04.2015 - 19:36
fuente

2 respuestas

1

Creo que estás preguntando si necesitas protegerte en caso de que ocurra algo imposible (o al menos altamente improbable).

Creo que un crossdomain.xml solo está involucrado cuando a un cliente se le pide que cargue contenido desde el servidor no originario. Entonces, agregar un archivo crossdomain.xml estricto lo protegerá contra eso.

Pero crossdomain.xml no lo protegerá de que un usuario acceda directamente al archivo SWF desde su servidor ya que no hay un segundo dominio involucrado en ese escenario.

Si no ha deshabilitado la descarga de archivos SWF en su servidor web, lo haría primero. Los detalles dependerán del servidor web que utilice, pero no debería ser difícil de hacer.

Una vez que ya hayas desactivado la carga y la descarga de archivos SWF, supongo que el crossdomain.xml te ayudará a protegerte de ciertos ataques, pero lejos de todo. Así que no veo ningún daño, pero tampoco veo una gran ganancia.

Espero que esto ayude.

    
respondido por el Neil Smithline 22.04.2015 - 21:54
fuente
1

No tener crossdomain.xml significa que una aplicación Flash no puede realizar una solicitud a su sitio web en primer lugar, por lo tanto, si no tiene una que esté más bloqueada que la que incluye una. Por supuesto, a menos que esté permitiendo que los usuarios carguen sus propios archivos crossdomain.xml .

Además, crossdomain.xml no evitará un archivo SWF que se cargue desde su dominio en primer lugar. Si solo afecta las solicitudes de dominios cruzados de otros dominios a los suyos.

Debería concentrarse en asegurarse de que no sea posible cargar un archivo y luego descargarlo con el tipo de contenido Flash.

    
respondido por el SilverlightFox 23.04.2015 - 11:25
fuente

Lea otras preguntas en las etiquetas

Es CSP suficiente para prevenir ataques XSS [duplicado] ASP.NET Machinekey encryption