이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다.
A5 - Cross-Domain Policy File (Flash)
Flash cross-domain policy
Flash 도메인 간 정책은 다른 도메인에서 실행되는 Flash 클라이언트 구성 요소가 정책을 게시하는 도메인과 양방향 상호 작용을 수행할 수 있는지 여부를 제어합니다. 정책에서 다른 도메인을 허용하는 경우 해당 도메인은 잠재적으로 애플리케이션 사용자를 공격할 수 있습니다. 사용자가 응용 프로그램에 로그인하고 정책에서 허용하는 도메인을 방문하면 해당 도메인에서 실행 중인 모든 악성 콘텐츠가 로그인한 사용자의 보안 컨텍스트 내에서 응용 프로그램에 대한 전체 액세스 권한을 얻을 수 있습니다.
허용된 도메인 자체가 명백히 악의적이지 않더라도 해당 도메인 내의 보안 취약성은 제3자 공격자가 잠재적으로 신뢰 관계를 악용하고 액세스를 허용하는 애플리케이션을 공격하는 데 악용될 수 있습니다. Flash 도메인 간 정책에서 허용하는 모든 도메인을 검토하여 애플리케이션이 의도와 보안 태세를 모두 완전히 신뢰하는 것이 적절한지 여부를 결정해야 합니다.
참고
https://medium.com/@x41x41x41/exploiting-crossdomain-xml-missconfigurations-3c8d407d05a8
https://www.exploit-db.com/exploits/39268
'Code::Security > 비박스(BWAPP)' 카테고리의 다른 글
| 비박스(bWAPP) A5 Cross-Site Tracing (XST) (0) | 2022.09.07 |
|---|---|
| 비박스(bWAPP) A5 Cross-Origin Resource Sharing (AJAX) (0) | 2022.09.06 |
| 비박스(bWAPP) A5 Arbitrary File Access (Samba) (0) | 2022.09.05 |
| 비박스(bWAPP) A5 Security Misconfiguration (보안 설정 오류) (0) | 2022.09.05 |
| 비박스(bWAPP) A4 Insecure DOR (Order Tickets) (0) | 2022.09.02 |