Solution: CrossDomain.xml File Has Allow-all Policy

Posted on 11 July 2009 by [email protected]

السلام عليكم ورحمة الله وبركاته

هذه مشكلة أخرى ظهرت لي أثناء الفحص للحصول على PCI Compliance وهي موجودة في خادم Tomcat … طبعاً هي ممكن تكون خلل في حالات وفي حالات أخرى لا … إن كانت تعرض بيانات للعامة أو غير موجودة خلف جدار ناري الشركة وغيرها … في هذه الحالات ممكن يكون Allow all غير ذلك لا … في حالتي الأمر لا يجب ان لا يتم ربطها إلا مع بيانات تأتي من دومين أو IP معيين … ولهذا الحل كان هكذا:

أفتح الملف:
vim crossdomain.xml

وبدل من كون الملف إعداداته هكذا (أنظر الصورة):


حيث يعتبر example.com هو الدومين الذي نريد السماح لبياناته بالمرور … الآن أعد تشغيل Tomcat وخلاص سيكون كل شيء تمام الحين … أعد الفحص أيضاً للتأكد من غلقك لهذه المشكلة …

مراجع مفيدة: الأول | الثاني | الثالث

بالتوفيق لكم …

About [email protected]

[Between Teams of Red and Blue, I'm with the Purple Team]
This entry was posted in Apache/Tomcat, PCI Compliance, Security, Web Security and tagged , . Bookmark the permalink.

3 Responses to Solution: CrossDomain.xml File Has Allow-all Policy

  1. GNOM says:
    11 July 2009 at 10:10 pm

    السلام عليكم
    ما قلت لك أعانك الله :)

    أليس تقرير OSSIM هو اللي يخبرنا بهذه الأمور ؟

  2. mrloong says:
    12 July 2009 at 1:20 pm

    شـكــ وبارك الله فيك ـــرا لك … لك مني أجمل تحية .

  3. B!n@ry says:
    12 July 2009 at 9:14 pm

    GNOM @ وعليكم السلام ورحمة الله وبركاته
    الله يخليك يارب أخوي عبد الرحمن … ممكن OSSIM يعطيك تقرير بهذا الأمر إن كان لديك Professionalfeed مع جماعة Nessus … أو تقوم بعمل انت الـ Audit Policy التي يفحص عليها Nessus بنفسك …

    mrloong @ ويبارك بيك اخي الكريم … شكراً لك ولمرورك الطيب …

Comments are closed.