搜索
虾皮社区 首页 编程开发 查看内容

由于网站中的crossdomain.xml文件配置不当,黑客可以通过编写特定的flash文件来窃取网 ...

2023-6-10 14:56| 发布者: happyxp| 查看: 638| 评论: 0

摘要: 今天登录后台的时候发现这么个提示,由于网站中的crossdomain.xml文件配置不当,黑客可以通过编写特定的flash文件来窃取网站中的敏感数据。具体内容如下:尊敬的客户:  您好,您的弹性公网EIP:x.x ...
今天登录后台的时候发现这么个提示,由于网站中的crossdomain.xml文件配置不当,黑客可以通过编写特定的flash文件来窃取网站中的敏感数据。具体内容如下:

尊敬的客户:
  您好,您的弹性公网EIP:x.x.x.x,存在安全|漏洞风险事件。请您在7天内完成处理。
  事件说明:由于网站中的crossdomain.xml文件配置不当,黑客可以通过编写特定的flash文件来窃取网站中的敏感数据(如因漏洞被恶意利用/入侵造成其他非法活动(如挖矿/赌博/色情等),百度智能云将按监管要求对您的EIP/BCC等执行封禁操作。)
  影响范围:设备发现存在严重安全漏洞,可能设备已经被恶意利用,如果超时未处理,我们将不得不暂时限制该资源的访问,以引导您及时排查处理规避风险。
  解决方案:排查业务应用漏洞,并及时修复。利用主机安全客户端、安全检测服务等产品,对当前业务漏洞进行检测和修复。
  处理完成后请您登录安全管控平台 https://console.bce.baidu.com/tools/#/safetyControl 申请解除警告。如有疑问可提交工单咨询。

这个服务器上放了十几个网站,其中大部分都是企业网站,用的程序一样,找了一个网站没有发现这个文件。通过文件搜索在discuz论坛的根目录里面发现了这个文件。
查了下相关资料这是个FLASH的配置文件,所以在其他的没用flash的企业网站中就不存在这个文件,修改如下:
在网站根目录和uc_server目录下找到crossdomain.xml文件,将
<allow-access-from domain="*" />
改为
<allow-access-from domain="你的域名" />
以本站为例,改为
<allow-access-from domain="www.xp6.org" />

然后登录https://console.bce.baidu.com/tools/#/safetyControl申请解除警告即可。

路过

雷人

握手

鲜花

鸡蛋
本站文章如无特殊说明均为 虾皮社区 原创,可无偿使用和传播,欢迎转载分享!
转载请注明本文地址:
如有文章侵犯了您的权利,请联系本站站长,我们将在第一时间删除相关内容,谢谢!

虾皮社区,成立十年了!

站长自己也搞不懂想做个什么,反正就是一直在努力的做!

Copyright © 2007-2024 xp6.org Powered by Discuz

QQ|Archiver|手机版|小黑屋|虾皮社区 |网站地图
返回顶部