crossdomain.xml

Huschi

Huschi

Moderator
Mal eine Frage an die Flasher unter Euch (ich hoffe es sind welche da):

Ich weiß, dass die crossdomain.xml auf dem Server gebraucht wird, wenn ein Flash-Objekt Daten von anderen Servern ziehen soll/darf/kann.
Im Umkehrschluss heißt das, dass dieses Flash von dem selben Server/Domain geladen wurde. Stimmts?

Nun habe ich aber in einem Firmen-Intranet einen Server auf dem kein Flash läuft.
Dennoch tauchen im Logfile etwa täglich einmal ein Abruf der o.g. Datei auf.
Und zwar immer vom selben User (Session-ID und Browser identisch).

Hat irgendjemand einen Plan, wie es dazu kommen kann?
Meine grundsätzliche Befürchtung ist, dass er sich irgendetwas eingefangen hat...

huschi.
 
Ich weiß, dass die crossdomain.xml auf dem Server gebraucht wird, wenn ein Flash-Objekt Daten von anderen Servern ziehen soll/darf/ka
Click to expand...
Flash hat aehnliche Einschraenkungen wie Javascript die es fuer Verbindungen auf den eigenen Host beschraenken um client-basierende Angriffe und aehnliches zu unterbinden.

Jede Domain welche aufrufbar sein soll benoetigt eine solche Datei als explizite Freigabe zum Zugriff (per Socket, RTMP, HTTP).
Nun habe ich aber in einem Firmen-Intranet einen Server auf dem kein Flash läuft
Click to expand...
Es muss auf dem Server keineswegs ein Flash Media Server, RED5 oder vergleichbares laufen da er einfach nur whitelistet damit er ueberhaupt interagieren darf.

Im Umkehrschluss heißt das, dass dieses Flash von dem selben Server/Domain geladen wurde. Stimmts?
Click to expand...
Nein, sonst wuerde Flash nicht nach einer Datei suchen, er muss von einem entfernten Server kommen oder lokal gestartet worden sein.

Hat irgendjemand einen Plan, wie es dazu kommen kann?
Click to expand...
Ist auf dem Server ein SQUID am laufen oder gilt er intern als Wildcard fuer alle nicht aufloesbaren Domains? _Eventuell_ versucht ein Spiel oder aehnlich sinnvolle Applikation das Spielchen "ET nach Hause telefonieren" und landed da seine Webseite schon lange tot ist im Intranet.

Und zwar immer vom selben User (Session-ID und Browser identisch).
Click to expand...
Moment... 1x taeglich aber immer gleiche Session-ID?
Versuch mal den Benutzer ausfindig zu machen und mit Wireshark zu kontrollieren was da genau die Anfrage stellt (oder direkt den Rechner zu beschlagnahmen :P )

Meine grundsätzliche Befürchtung ist, dass er sich irgendetwas eingefangen hat...
Click to expand...
Ein "Virus" das den Server den es angreifen als Relay oder was auch immer benutzen will zuerst um explizite Erlaubnis fragt? Naja :D
Ich denke eher dass es ein ungewollter Nebeneffekt ist.

Hast du kontrolliert ob es die Datei gibt? (evtl ja auch in einem falschen Ordner :P ) Koennte sein dass ein Flash-Prograemmchen schlichtwegs falsch eingestellt ist :)
 
d4f said:
er muss von einem entfernten Server kommen oder lokal gestartet worden sein.
Click to expand...
Ok, also so rum. Bleibt die Frage warum auf diese Domain zugegriffen wird?

Ist auf dem Server ein SQUID am laufen oder gilt er intern als Wildcard fuer alle nicht aufloesbaren Domains? ... und landed ... im Intranet.
Click to expand...
Nein, nein und wahrscheinlich auch nein.
Es ist ein konkreter Domain-Aufruf. Anders kommt man nicht dahin.
Auf den anderen Virtual-Domains des Servers gibt es keine Logeinträge dieser Art.

Moment... 1x taeglich aber immer gleiche Session-ID?
Click to expand...
Nicht ganz. Aber anhand der Session-ID ist der User in der DB feststellbar.

Versuch mal den Benutzer ausfindig zu machen und mit Wireshark zu kontrollieren
Click to expand...
Der User sitzt leider außerhalb meiner Reichweite.

Ein "Virus" das den Server den es angreifen als Relay oder was auch immer benutzen will zuerst um explizite Erlaubnis fragt?
Click to expand...
Ich denke tatsächlich in Richtung "Flash-Trojaner" der halt an die Flash-Restriktionen gebunden ist.
Oder ein "Flash-Browser" (falls es so was gibt) oder ein Frameset in dem z.B. oben ein Flash agiert und unten gesurft wird. Evtl. ein Webmailclient mit einer Flash-Toolbar. Weil die Benachrichtigungen per Mail inkl. direktem Link verschickt werden... :confused:

Oder gibt es ein "Flash-Quick-Start-Plugin" welches solche Anfragen einfach mal prophylaktisch macht?

Hast du kontrolliert ob es die Datei gibt?
Click to expand...
Wie gesagt, wir arbeiten dort nicht mit Flash. Daher ist die Datei auch nicht vorhanden.

huschi.
 
Ich denke tatsächlich in Richtung "Flash-Trojaner" der halt an die Flash-Restriktionen gebunden ist.
Click to expand...
Das einzige was ich mir so direkt vorstellen koennte waere eine Kombination aus client-seitiger Ausfuehrung einer Flash-Datei und auf den Server injektiertem Skript welches die Arbeit durchfuehren soll (Spammen , ...)
Allerdings scheint zumindest die Serverseite bei euch zu fehlen, gut so =)
Moeglich waere auch ein CSRF aber naja...
Wenn tatsaechlich der Rechner infiziert ist wuerde sich das ganze mittels richtigem Programmcode einfacher, unauffaelliger und effektiver ausfuehren lassen... somit macht es nicht wirklich Sinn...

Ist auch kein Flex welches ja ein "Flash reloaded" ist im Einsatz?

Der User sitzt leider außerhalb meiner Reichweite.
Click to expand...
*grins* Aufstehen oder einen Stuhl mit Rollfuessen kaufen, dann kommt man sogar an die User ran:P

Oder gibt es ein "Flash-Quick-Start-Plugin" welches solche Anfragen einfach mal prophylaktisch macht?
Click to expand...
An eine bestimmte Domain? Und nur 1x am Tag?
Ist es immer die gleiche Uhrzeit oder variiert die wenigstens? und wenn ja, um wieviel? (Evtl Browser-Startseite verbockt?)
 
You must log in or register to reply here.
Back
Top