检测到目标服务器允许从任何域进行flash跨域访问

漏洞报告：

检测到目标服务器允许从任何域进行flash访问。

漏洞文件：

crossdomain.xml

漏洞描述：

文件浏览器安全模型通常会阻止web内容从一个域访问另一个域中的数据，这就是俗称的“同源策略”。 

flash在跨域时唯一的限制策略就是crossdomain.xml文件，该文件限制了flash是否可以跨域读写数据以及允许从什么地方跨域读写数据，即指明了远程flash是否可以加载当前网站的资源（图片、网页内容、flash等），当allow-access-from的domain属性设置为*时，将导致严重的安全问题，如信息泄露、CSRF等。

解决办法：

对于不需要外部加载资源的网站，crossdomain.xml中更改allow-access-from的domain属性为域名白名单。

具体操作如下：

打开crossdomain.xml文件，

将以下代码：

<?xml version="1.0"?>
<cross-domain-policy>
 <allow-access-from domain="*" /><!--表示无访问限制-->
</cross-domain-policy>

全部代码改为：

<?xml version="1.0"?>
<cross-domain-policy>
 <allow-access-from domain="*.yzlcms.com" /><!--表示只允许yzlcms.com下的所有域访问-->
</cross-domain-policy>

验证方法：

根据检测到目标服务器允许从任何域进行flash访问漏洞原理，通过从目标站点获取错误配置信息进行漏洞验证。