Web サイトのクライアントアクセスポリシーファイルの検出

info Nessus プラグイン ID 72427
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート Web サーバーに「clientaccesspolicy.xml」ファイルが含まれています。

説明

リモート Web サーバーにクライアントアクセスポリシーファイルが含まれています。これは Microsoft Silverlight によって使用される単純な XML ファイルであり、これによって、Silverlight コントロールが由来する元であるまさにその Web ドメインの外にあるサービスに、アクセスできます。

ソリューション

ポリシーファイルの内容を注意深く確認してください。不適切なポリシー(特に「*」だけで制限されていないもの)によって、Web サーバーに対してクロスサイトリクエストフォージェリやその他の攻撃をできることがあります。

関連情報

http://www.nessus.org/u?a4eeeaa2

プラグインの詳細

深刻度: Info

ID: 72427

ファイル名: clientaccesspolicy.nasl

バージョン: 1.5

タイプ: remote

ファミリー: CGI abuses

公開日: 2014/2/11

更新日: 2021/1/19

依存関係: http_version.nasl

脆弱性情報

Nessus によりエクスプロイト済み: true