攻击者如何绕过crossdomain.xml

Question

我不确定我是否正确理解了crossdomain.xml的用法。我正在使用Uploadify (2.1.4) -一个基于flash的文件上传工具。我需要将文件从Domain A上传到Domain B。Uploadify由Domain A托管和提供。为了允许Uploadify flash插件通信并上传到Domain B，我必须在Domain B上托管一个crossdomain.xml文件。因此，如果Uploadify在Domain B上发现白名单中包含Domain A的crossdomain.xml文件，那么上传到Domain B的文件将被处理。到现在为止，一切听起来都很好。

然而，我无法理解是什么阻止了攻击者在其计算机上安装的本地网站上构建克隆上传器，并随后修改etc/hosts以使本地安装使用Domain A作为域名。现在，攻击者可以伪装成Domain A将文件上传到Domain B，Domain B会坦率地接受上传，因为它在crossdomain.xml的白名单中列出了Domain A。

如果可以像上面那样很容易地规避crossdomain.xml，那么它的目的是什么？我对此的理解可能是完全错误的。一个洞察力会很有帮助。

Answer 1

crossdomain.xml不能取代登录系统。它只是告诉Flash：‘嘿，你可以从我的服务器读取(和使用)数据’。

crossdomain.xml是很容易绕过的，所以它不能被当做网站的一个适当的安全功能。

所以，总而言之，如果你想要安全，只要在你的'DomainB‘上实现登录功能即可。