不安全的用戶端存取原則
low Web App Scanning Plugin ID 98065
語系:
概要
不安全的用戶端存取原則說明
瀏覽器安全性模型通常可防止某個網域的 Web 內容存取另一個網域的資料,這通常稱為「同源原則」。URL 原則檔案授予跨網域讀取資料的權限,允許預設不允許的作業。根據預設,Silverlight 的 URL 原則檔案位於目標伺服器的根目錄中,名稱為「ClientAccessPolicy.xml」 (例如,位於「www.example.com/ClientAccessPolicy.xml」)。
在 `ClientAccessPolicy.xml` 中指定網域時,網站宣告其願意允許該網域中任何伺服器的操作員取得原則檔案所在伺服器上的任何文件。
此網站上部署的「ClientAccessPolicy.xml」檔案會將伺服器開放給所有網域 (支援使用單一星號「*」作為純萬用字元),並且視套用的設定,可能允許透過 HTTP 存取 HTTPS 資源,這可能會將本應透過 HTTPS 保護的資料洩漏給第三方,並為攔截式攻擊提供便利。
解決方案
請仔細評估要允許哪些網站進行跨網域呼叫。如果允許 http://* 萬用字元,請評估傳輸資料的影響。
考慮會受到跨網域原則設定或實作影響的網路拓撲和任何驗證機制。
另請參閱
https://msdn.microsoft.com/en-us/library/cc197955%28v=vs.95%29.aspx
https://www.owasp.org/index.php/Test_Cross_Origin_Resource_Sharing_%28OTG-CLIENT-007%29
Plugin 詳細資訊
嚴重性: Low
ID: 98065
類型: remote
系列: Web Applications
已發布: 2017/3/31
已更新: 2021/11/26
掃描範本: api, basic, full, pci, scan
風險資訊
VPR
風險因素: Low
分數: 1.4
CVSS v2
風險因素: Low
基本分數: 2.6
媒介: CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:N
CVSS 評分資料來源: Tenable
CVSS v3
風險因素: Low
基本分數: 3.1
媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVSS 評分資料來源: Tenable
參考資訊
OWASP: 2010-A6, 2013-A5, 2017-A6, 2021-A5
WASC: Application Misconfiguration
DISA STIG: APSC-DV-000500
HIPAA: 164.306(a)(1), 164.306(a)(2)
ISO: 27001-A.14.2.5
NIST: sp800_53-CM-6b
OWASP API: 2019-API7, 2023-API8
PCI-DSS: 3.2-6.5.9