Les Applications Internet Riches (RIA) ont adopté la politique Adobe crossdomain.xml afin de permettre l'accès cross domaine contrôlé des données et des services utilisant des technologies telles que Oracle Java, Silverlight et Adobe Flash. Par conséquent, un domaine peut autoriser l'accès à distance à ses services vers un domaine différent. Cependant, souvent les fichiers de stratégie qui décrivent les restrictions d'accès sont mal configurés. Une mauvaise configuration des fichiers de stratégie permet des attaques cross-site Request Forgery, et peut permettre à des tiers d'accéder aux données sensibles destinés à l'utilisateur.

• Quels sont les fichiers de stratégie crossdomain.xml

  • Comment la crossdomain.xml file poilicy peut être abusée et impacts de cet abus

…

…

• Adobe: “Cross-domain policy file specification” - http://www.adobe.com/devnet/articles/crossdomain_policy_file_spec.html

  • Stefan Esser: “Poking new holes with Flash Crossdomain Policy Files” http://www.hardened-php.net/library/poking_new_holes_with_flash_crossdomain_policy_files.html
  • Jeremiah Grossman: “Crossdomain.xml Invites Cross-site Mayhem” http://jeremiahgrossman.blogspot.com/2008/05/crossdomainxml-invites-cross-site.html
  • http://code.google.com/p/doctype-mirror/wiki/ArticleFlashSecurity

• Nikto