Web攻防第五十四天

最新推荐文章于 2024-03-13 16:31:31 发布
最新推荐文章于 2024-03-13 16:31:31 发布
阅读量259 收藏 2
点赞数 2
分类专栏: web安全 文章标签: 安全 笔记 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/B_l_a_nk/article/details/132994583
版权

WEB攻防-通用漏洞&跨域CORS资源&JSONP回调&域名接管劫持

目录

WEB攻防-通用漏洞&跨域CORS资源&JSONP回调&域名接管劫持

#知识点:

#前置知识点:

COSP跨域资源

CSRF和CORS的区别

案例:CORS资源跨域-敏感页面源码获取

JSONP跨域回调

JSONP回调跨域-某牙个人信息泄露

子域名接管

子域名接管-瓜迪个人子域名劫持接管

检测项目-CORS&JSONP&子域名接管

#知识点:

1、子域名接管-检测&探针&利用

2、COSP跨域资源-检测&探针&利用

3、JSONP跨域回调-检测&探针&利用

#前置知识点:

-同源策略(SOP)-“同源”包括三个条件:同协议 同域名 同端口

同源策略限制从一个源加载的文档或脚本与来自另一个源的资源进行交互,这是一个用于隔离潜在恶意文件的关键的安全机制.简单说就是浏览器的一种安全策略。

虽然同源策略在安全方面起到了很好的防护作用,但也在一定程度上限制了一些前端功能的实现,所以就有了许多跨域的手段。

同源策略限制的太厉害,但是网站需要去调用外部资源,所以就有了这个cors

COSP跨域资源

CORS全称Cross-Origin Resource Sharing, 跨域资源共享,是HTML5的一个新特性,已被所有浏览器支持,跨域资源共享(CORS)是一种放宽同源策略的机制,它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制,以使不同的网站可以跨域获取数据。

Access-Control-Allow-Origin:指定哪些域可以访问域资源。例如,如果requester.com想要访问provider.com的资源,那么开发人员可以使用此标头安全地授予requester.com对provider.com资源的访问权限。

Access-Control-Allow-Credentials:指定浏览器是否将使用请求发送cookie。仅当allow-credentials标头设置为true时,才会发送Cookie。

Access-Control-Allow-Methods:指定可以使用哪些HTTP请求方法(GET,PUT,DELETE等)来访问资源。此标头允许开发人员通过在requester.com请求访问provider.com的资源时,指定哪些方法有效来进一步增强安全性。

检测项目:https://github.com/chenjj/CORScanner

CSRF和CORS的区别

csrf在有同源检测的时候就会失败,而cors不会。csrf是利用这个数据包完成一些操作。当用户点击这个带有csrf的链接后触发的数据包,这个数据包可以干什么,那么就代表csrf能干啥,比如添加用户、删除用户等。但cors不能,它只能获取网站的资源,比如图片、源码之类的。

对于这个cors,如果说这个Access-Control-Allow-Origin:http:后面写的*,那么这里可能就有cors漏洞。如果是固定了一个地址的话,比如www.xiaodi8.com,那么他就只能从这个地址来获取资源。相当于说如果这里写死的话,那么这里基本就没cors漏洞了。

案例:CORS资源跨域-敏感页面源码获取

复现步骤:

1、本地搭建访问页面跨域调用URL

2、受害者访问当前页面被资源共享

首先网站管理者登录着自己的后台,这里使用本地搭建的zblog做演示。

当他去点击了存在攻击者的链接就会触发CORS,链接这里是用cors.html这个来模拟真实环境,下面代码的意思就是当你点击这个cors.html之后就会去请求http://localhost/Zblog/zb_system/admin/index.php这个地址,然后因为这是网站后台是登录状态可以直接访问,那么就会把里面的内容以变量z0发到http://localhost:80/cors1.php

而这个cors1.php就会接收这个变量z0的数据写入到1.html里面,那么就完成了CORS。其实这个步骤和CSRF是一样的,但是这里就是因为同源策略所以CSRF失效了,就可以用CORS来进行攻击。两个产生原理不同,得到的结果也不同,CORS是资源共享,所以可以解决跨域问题。CSRF是什么操作都可以,只要触发的这个链接能做啥事,他就能做什么操作。

这是我们点开这个1.html,就可以看到网站的内容,这里用url编码的,但问题不大,修改一下编码即可。

那么在白盒代码审计的情况下就是看设置问题了,就是看origin设置的是不是*,是星号,那么就有这个漏洞。而黑盒就是看origin设置后能通过资源。上面说过这个origin这个值在请求头中,那我们是不是可以抓包修改。

JSONP跨域回调

JSONP跨域巧妙的利用了script标签能跨域的特点,实现了json的跨域传输。

检测项目:手工审查元素筛选或Burp项目

https://github.com/p1g3/JSONP-Hunter

这个jsonp跨域回调就是说网站因为有第三方接口,比如支付接口,客户在第三方接口支付完之后,第三方接口就会给网站发送个回调,网站就会通过这个回调来确认客户已经支付成功了。而在这个回调中有一些敏感信息,所以如果说目标在登录网站的同时点开了攻击者给的链接,那么这个链接就会去接受登录网站的回调,从而得到一些敏感信息。而这个回调的传输格式为json,所以就成为jsonp跨域回调

一般大型的网站都会有这个同源策略,这是为了安全着想。但是业务需求不得不调用第三方接口。利用这个就可以绕过同源策略,同时得到用户的敏感信息。

利用这个JSONP只能得到用户的敏感信息,而利用CORS只能得到网站资源。这两个就是绕过同源策略的一些攻击手段。

JSONP回调跨域-某牙个人信息泄露

复现步骤:

1、登录某牙找到回调有敏感信息

2、本地搭建访问页面跨域调用URL

3、访问本地页面可获取当前某牙信息

当用户点击这个html之后就会被攻击者得到回调

而这个和csrf的区别就是一般大型网站都会检测同源策略,所以你只能用这个回调去获取一些信息。而找这个漏洞就是看你能不能找到这个回调,回调里面有没有敏感信息。如果有那么这里就有安全问题。可以直接在数据包那里搜callback来查看回调

子域名接管

域名解析记录指向域名,对应主机指向了一个当前未在使用或已经删除的特定服务,攻击者通过注册指向域名,从而控制当前域名的控制权,实现恶意软件分发、网络钓鱼/鱼叉式网络钓鱼、XSS 、身份验证绕过等。子域名接管不仅仅限于CNAME记录,NS,MX甚至A记录也会受到影响。

设定域名的指向的时候一般都是a记录,但也有cname,也就是别名。如果说把test.baidu.com设置个别名为test.xxxxx.com的话,如果这个test.xxxxx.com域名过期或则失效了,那我们就可以注册这个域名,那么这个域名归自己所有,然后把这个域名指向的网站为自己的,就可以实现对test.baidu.com的控制。

可能你有点不理解,再说明一下,如果test.xxxxx.com失效或则过期,你访问test.baidu.com是显示啥也没有,也就是说test.xxxxx.com我们一旦注册,别人访问test.baidu.com就会指向到我这里来,那么我想让它显示什么,他就会显示什么。

子域名接管-瓜迪个人子域名劫持接管

复现步骤::xiaodi8.com

1、通过检测cname获取指向

2、发现testxiaodi.fun过期受控

3、注册testxiaodi.fun实现控制

test.xiaodi8.com设置的别名为test.xiaodi.fun。那么我们访问test.xiaodi.fun就是相当于访问test.xiaodi8.com,如果这个test.xiaodi.fun过期了,我们便可以自己注册然后实现控制。

检测项目-CORS&JSONP&子域名接管

1、python cors_scan.py -i top_100_domains.txt -t 100

这个工具可以用来检测CORS。名字叫CORScanner

直接在在当前目录打开cmd。输入命令“python cors_scan.py -i top_100_domains.txt -t 100”

但是这里会报错,因为这个工具需要几个py的第三方库,直接去py的目录下打开cmd输入pip3 install gevent (当前pip版本为3,所以是pip3,具体看自己的pip版本)

总之缺哪个模块就下载哪个。

然后输入命令:“python cors_scan.py -i top_100_domains.txt -t 100”即可进行这些url的扫描,这个命令就是扫描top_100_domains.txt这个文本里面的地址。

如果箭头这个位置是已经规定好的地址的话,那这里就是定死的,我们没法去利用,如果说是星号或则一个我们能够利用的地址的话,那么这里就有CORS漏洞。

2、人工排查+burpsuite 安装Jsonp_Hunter.py抓包使用

人工排查就是自己抓包看回调信息。

利用burp就是安装这个插件,过程跟之前安装那个识别验证码的一样。安装完成之后右边就会有这个模块了,接下来我们直接抓包即可。

然后他就会把经过的流量中带回调给筛选出来

3、dnsub爬取子域名筛选接管

这个工具不仅可以爬取子域名还可以爬取别名,也就是cname,如果说xxioadi123.com这个域名过期或则失效了,那我们注册一个,直接就接管了bbs.xiaodi8.com。怎么看域名过期呢,可以直接去注册域名的地方,看这个域名的注册情况。比如去阿里云、腾讯云查。

下面的这些检测项目也可以,但是比较麻烦并且慢。

检测项目:

https://github.com/pwnesia/dnstake

https://github.com/anshumanbh/tko-subs

https://github.com/mhmdiaa/second-order

https://github.com/r3curs1v3-pr0xy/sub404

https://github.com/Echocipher/Subdomain-Takeover

至此,web攻防就讲完了。

xiaopeisec
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
jsonp:jsonp是一个Burp扩展,它试图在JSON端点后面揭示JSONP功能。 这可能有助于揭示跨站点脚本包含漏洞,或有助于绕过内容安全策略
05-10
jsonp jsonp是一个Burp扩展,它试图发现JSON端点后的JSONP功能。 它通过添加参数和/或更改请求的URL的扩展名来实现。 有效负载取自payloads.txt。 该扩展充当被动扫描程序(实际上不是,因为它基于原始请求创建请求)。 对于每个使用application/json响应的请求,插件将使用payloads.txt中的payloads.txt发送4更改后的请求。 仅请求路径和方法将被更改。 插件发出的所有请求都使用请求方法GET 。 JSONP功能(如果不受限制)可用于绕过内容安全策略。 除此之外,如果没有经过身份验证的数据,如果未使用CSRF令牌或等效令牌来减轻可利用性,则可以尝试进行跨站点脚本包含攻击。 正如所了解的那样,JSONP功能通常隐藏在JSON端点。 使用jsonp_dump呈现的模板,如果未提供callback参数,它将返回内容类型为appli
JSONP Hunter: 解析与利用JSONP的利器
gitblog_00002的博客
03-30 542
JSONP Hunter: 解析与利用JSONP的利器 项目地址:https://gitcode.com/p1g3/JSONP-Hunter 在现代Web开发中,JSONP(JSON with Padding)是一种常见的跨域数据交互方式。然而,对于安全研究人员或开发者来说,理解和利用JSONP可能会有一些挑战。这就是JSONP Hunter项目登场的地方。本文将深入探讨此项目的功能、技术实现和应...
CORS跨域漏洞的学习
CanMeng'Blog - 一个WEB安全渗透的技术爱好者
07-27 8293
学习CORS的漏洞和相关的一些知识梳理,网站如果存在这个漏洞就会有用户敏感数据被窃取的风险。 0x00 从浏览器的同源策略说起 SOP,同源策略 (Same Origin Policy),该策略是浏览器的一个安全基石,如果没有同源策略,那么,你打开了一个合法网站,又打开了一个恶意网站。恶意网站的脚本能够随意的操作合法网站的任何可操作资源,没有任何限制。 (图片来自网络) ...
说说JSON和JSONP,也许你会豁然开朗
rznice的专栏
07-17 1867
前言   由于Sencha Touch 2这种开发模式的特性,基本决定了它原生的数据交互行为几乎只能通过AJAX来实现。   当然了,通过调用强大的PhoneGap插件然后打包,你可以实现100%的Socket通讯和本地数据库功能,又或者通过HTML5的WebSocket也可以实现与服务器的通讯和服务端推功能,但这两种方式都有其局限性,前者需要PhoneGap支持,后者要求用户设备必须支持We
54、WEB攻防——通用漏洞&跨域CORS资源&JSONP回调&域名接管劫持
qq_55202378的博客
03-13 628
CORS(跨域资源共享)已被所有浏览器支持,跨域资源共享是一种放宽同源策略的机制,它允许浏览器向跨域服务器发出XMLHttpRequest,从而克服了AJAX只能同源使用的限制,以便不同的网站可以跨域获取数据。JSONP跨域巧妙地利用了scirpt标签能跨域的特点,实现json的跨域传输。同源策略限制从一个源加载的文档或脚本与来自另一个源的资源进行交互。看数据包里哪些回调接口,回调的数据不限同源策略的限制。检查项目:手工审查元素筛选或burp项目,(可以集成到burp上)
CORS跨域资源共享漏洞的原理与挖掘方法
seek_2022的博客
08-06 4021
本文介绍了CORS漏洞的原理、靶场搭建方法、漏洞挖掘方法、自动化扫描工具、及CORS漏洞的修复建议,希望对大家学习渗透测试有一定的帮助。
Web攻防基础入门.pdf
06-06
攻防基础
中国首届医院网络安全攻防演练Web部分真题
07-13
中国首届医院网络安全攻防演练Web部分真题,厦门站。一个WEB站点 源码。
web应用安全攻防策略.doc
11-21
web应用安全攻防策略.doc
Web安全攻防实验[整理].pdf
10-20
Web安全攻防实验[整理].pdf
CORScanner:快速的CORS错误配置漏洞扫描器:clinking_beer_mugs:
04-30
关于CORScanner CORScanner是一个Python工具,旨在发现网站的CORS错误配置漏洞。 它可以帮助网站管理员和渗透测试人员检查他们针对的域/ URL是否具有不安全的CORS策略。 特征 快。 它使用而不是Python线程进行并发,这对于网络扫描而言要快得多。 综合的。 它涵盖我们所知道的所有。 灵活的。 它支持各种自定义功能(例如文件输出),这有助于进行大规模扫描。 :NEW_button: CORScanner支持通过pip进行安装( pip install corscanner或pip install cors ) :NEW_button: CORScanner可以用作项目中的库。 有两个有用的参考资料,可以系统地理解CORS: USENIX安全性18论文: 中文详解: 如果您进行科学研究,请考虑引用我们的论文(点击我)。 乳胶版本: @inproceedings{chen-cors, au
web攻防教程
05-16
一本关于web攻击和防御的文档,主要是针对linux系统中php和mysql攻击等
红队常用的那些工具分享(掌控学院)
m0_49936858的博客
08-12 2351
常用的那些工具分享
CORS跨域漏洞学习
weixin_45116657的博客
02-15 1060
前言 CORS全称为Cross-Origin Resource Sharing即跨域资源共享,用于绕过SOP(同源策略)来实现跨域资源访问的一种技术。而CORS漏洞则是利用CORS技术窃取用户敏感数据。以往与CORS漏洞类似的JSONP劫持虽然已经出现了很多年,但由于部分厂商对此不够重视导致其仍在不断发展和扩散。 一、CORS及SOP简介 对CORS的介绍要从浏览器的同源策略开始说...
Day54 跨域CORS资源&JSONP回调&域名接管劫持
wanjia01的博客
01-17 637
知识点:1、子域名接管-检测&探针&利用2、COSP跨域资源-检测&探针&利用3、JSONP跨域回调-检测&探针&利用#前置知识点:-同源策略(SOP)-“同源”包括三个条件:同协议 同域名 同端口同源策略限制从一个源加载的文档或脚本与来自另一个源的资源进行交互,这是一个用于隔离潜在恶意文件的关键的安全机制.简单说就是浏览器的一种安全策略。虽然同源策略在安全方面起到了很好的防护作用,但也在一定程度上限制了一些前端功能的实现,所以就有了许多跨域的手段。
web漏洞挖掘指南-前端跨域漏洞
weixin_40418457的博客
09-27 468
web漏洞挖掘指南 前端跨域漏洞 一、何为跨域 1.设想一种场景,一个恶意网站上嵌入了一个iframe标签去加载银行的登陆页面,高度和宽度的设置和真实的银行官网一样,当用户访问恶意网站并登录时,攻击者就可以利用恶意脚本通过XMLHttpRequest之类的dom操作窃取用户的银行卡数据,为了防止防御此类攻击,同源策略诞生了! 2.同源策略规定不同域的客户端脚本如果没有明确授权允许执行,不能读写另一方的资源。同协议,同端口,同主机名的两个URL才能被认为同源。 3.随着web应用前后端分离模式的流行,后端
欧拉后台之 Python3 实现 cors 跨域(二)
weixin_36532747的博客
10-04 1917
前情提要 前后端进行项目的分离操作过程中,使用到了 Ajax 技术,因为后端采用了 serverless 的 python3 实现了部分接口,上文提供了一种通用的 JWT 验证方式,可以实现分布式系统下的多点鉴权认证功能,本文将会通过讲述跨域的原理进行分布式系统下前后端分离资源请求的一种文体,同源策略导致的跨域问题,应该如何解决。 跨域原理 因为浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到
单细胞分析的 Python 包 Scanpy(图文详解)
热门推荐
Baimoc
07-14 3万+
文章目录一、安装二、使用1、准备工作2、预处理过滤低质量细胞样本3、检测特异性基因4、主成分分析(Principal component analysis)5、领域图,聚类图(Neighborhood graph)6、检索标记基因7、保存数据8、番外 一、安装 如果没有conda 基础,参考: Conda 安装使用图文详解(2021版) pip install scanpy conda install -y -c conda-forge leidenalg 二、使用 1、准备工作 # 载入包 import
vhdl语言四十五进制计数器
最新发布
04-14
VHDL(VHSIC Hardware Description Language)是一种硬件描述语言,用于描述数字电路和系统。45进制计数器是一种特殊的计数器,可以在45个不同的状态之间进行计数。 在VHDL中,可以使用状态机的方式来实现45进制计数器。以下是一个简单的示例代码: ```vhdl library ieee; use ieee.std_logic_1164.all; use ieee.numeric_std.all; entity counter_45 is port ( clk : in std_logic; reset : in std_logic; count_out : out std_logic_vector(5 downto 0) ); end entity counter_45; architecture behavioral of counter_45 is signal count : unsigned(5 downto 0); begin process(clk, reset) begin if reset = '1' then count <= (others => '0'); elsif rising_edge(clk) then if count = "101100" then -- 当计数到45时,重新开始计数 count <= (others => '0'); else count <= count + 1; end if; end if; end process; count_out <= std_logic_vector(count); end architecture behavioral; ``` 上述代码中,使用了一个6位的无符号整数类型(unsigned)来表示计数器的值。计数器在每个上升沿时递增,当计数器的值达到45时,重新开始计数。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiaopeisec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值