漏洞修复:HTML5: CORS Functionality Abuse

已于 2022-03-07 16:37:38 修改
阅读量2k 收藏
点赞数
分类专栏: nginx 文章标签: 安全漏洞
于 2022-01-28 11:16:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CutelittleBo/article/details/122728054
版权

描述

WebInspect has detected the target application supports “Origin: null” for CORS requests, making it vulnerable to CORS attacks.
Cross-Origin Resource Sharing, commonly referred to as CORS, is a technology that allows a domain to define a policy for its resources to be accessed by a web page hosted on a different domain using cross domain XML HTTP Requests (XHR). Historically, the browser restricts cross domain XHR requests to abide by the same origin policy. At its basic form, the same origin policy sets the script execution scope to the resources available on the current domain and prohibits any communication to domains outside this scope. Therefore, execution and incorporation of remote methods and functions hosted on domains outside of the current domain are effectively prohibited. While CORS is supported on all major browsers, it also requires that the domain correctly defines the CORS policy in order to have its resources shared with another domain. These restrictions are managed by access policies typically included in specialized response headers, such as:
Access-Control-Allow-Origin
Access-Control-Allow-Headers
Access-Control-Allow-Methods
In this instance, the Access-Control-Allow-Origin header is set to "null" as seen in the pre-flight response. This makes the target application vulnerable to CORS attacks. Sandboxed documents and various URI scheme such as data: or file: have their 'Origin' defined as ‘null’. Thus, any malicious user can easily obtain "Origin: null" can be easily obtained by any malicious user by simply enclosing the malicious CORS request from within an iframeand using the sandboxattribute.

解决方案

在server中添加
add_header Access-Control-Allow-Origin 允许访问的ip或者域名,允许访问的ip或者域名;
例如:

server{
	add_header Access-Control-Allow-Origin  192.168.11.62;
}

或者

server{
	add_header 'Access-Control-Allow-Origin' $http_origin;
}

实际情况中,还是扫到了
另一个解决方案
判断$http_origin
如果不在白名单,直接403

if ( $http_origin !~* '192.168.1.1|172.1.1.1') {
        return 403 ;
}

参考

https://vulncat.fortify.com/en/detail?id=desc.dynamic.html.html5_cors_functionality_abuse
https://blog.csdn.net/enthan809882/article/details/107941696
https://blog.csdn.net/u014163312/article/details/120007012

SangBigYe
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
HTML5安全风险详析之一:CORS攻击
蒋宇捷的专栏
09-09 1万+
一、从SOP到CORS        SOP就是Same Origin Policy同源策略,指一个域的文档或脚本,不能获取或修改另一个域的文档的属性。也就是Ajax不能跨域访问,我们之前的Web资源访问的根本策略都是建立在SOP上的。它导致很多web开发者很痛苦,后来搞出很多跨域方案,比如JSONP和flash socket。如下图所示:        后来出现了CORS-CrossOrigin
跨域资源共享 CORS 详解
weixin_34365417的博客
04-19 2172
跨域资源共享 CORS 详解作者:阮一峰日期:2016年4月12日CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。本文详细介绍CORS的内部机制。(图片说明:摄于阿联酋艾因(Al Ain)的绿洲公园)一、简介...
Corser:Node.js的CORS中间件
02-05
科瑟 的高度可配置,中间件兼容的实现。 变更日志 2.0.1(2016年8月16日) 为添加变通办法,。 2.0.0(2014年3月22日) 飞行前请求将自动关闭。 如果需要处理OPTIONS请求,请检查endPreflightRequests选项。 现在,动态原点检查中的回调函数的参数为(err, matches)而不是just (matches) 。 例子 如何在Express中将Corser用作中间件 有关example/express/请参见example/express/ 。 var express, corser, app; express = require("expr
corsproxy:Go中的最小CORS代理
05-07
Corsproxy Go中的最小CORS代理
crossorigin.me:每个人的CORS代理
04-12
crossorigin.me crossorigin.me是CORS代理。 它使开发人员(像您一样!)可以从其服务器上未启用CORS的其他站点访问资源。 有关更多信息,请参见。
lumen-cors:Lumen PHP框架的CORS模块
05-23
流明CORS 适用于(CORS)模块。 要求 PHP 7.1或更高版本 5.4或更高 用法 安装 运行以下命令以通过Composer安装软件包: composer require nordsoftware/lumen-cors 配置 将config/cors.php的配置模板复制到应用程序的config目录中,然后根据需要进行修改。 有关更多信息,请参见流明文档中的“配置文件”部分。 可用的配置选项: allow_origins array允许执行请求的来源,默认为空数组。 模式也被接受,例如* .foo.com allow_methods array允许的HTTP方法,默认为空数组 allow_headers array允许的HTTP标头,默认为空数组 allow_credentials boolean是否存在凭据时是否可以公开响应,默认为false exclude_hea
HTML5安全:CORS(跨域资源共享)简介
tempsitegoogle
07-09 539
前言:像CORS对于现代前端这么重要的技术在国内基本上居然很少有人使用和提及,在百度或者Google上搜索CORS,搜到的中文文章基本都是另外一种卫星定位技术CORS的介绍,让我等前端同学情何以堪(对比起来,用Google搜到的国外文章,基本都是跨域资源共享的介绍,说明了前端技术在国内外环境和发展的巨大差距)。 我之前《用HTML5实现人脸识别》这篇文章中提到了“Face.com实...
漏洞修复HTML5: CORS Prolonged Caching of Preflight Response
CutelittleBo的博客
01-28 947
描述 WebInspect has discovered a preflight response that is configured to be cached for a prolonged amount of time. The time a response is allowed to be cached is conveyed using an Access-Control-Max-Age response header and a value more than 30 minutes is co
利用HTML5CORS特性绕过httpOnly的限制实现XSS会话劫持
bylfsj的博客
03-21 3953
文章目录0×00. 前言 0×01. 前提条件0×02. 本次实验环境漏洞环境:使用到的工具: 0×03. 测试过程1) 事先插入一段xss代码2) 配置好用户端的hosts3)开始测试0×04. shell of the future 劫持会话原理图0×05. 不足 * 本文原创作者:ForrestX386,本文属Fr...
谷歌浏览器H5页面请求,后台CORS错误解决方法
Sunshine_Jessica的博客
12-12 3415
谷歌浏览器H5页面请求,后台CORS错误解决方法
解决has been blocked by CORS policy: No ‘Access-Control-Allow-Origin’报错跨域问题
热门推荐
m0_46127185的博客
01-07 9万+
关于前后端分离踩过的坑 故事起因:前天晚上,在计划中学完了一个前端获取后端请求的框架叫axios。然后准备用axios、vue、以及fastapi(一个Python的web框架)写一个前后端分离的小demo。结果变成了事故,竟然报错了。 主要错误是:has been blocked by CORS policy: No ‘Access-Control-Allow-Origin’。大概的意思是,已被CORS策略阻止:无“访问控制允许来源”。当时我也百度了一下CORS后来因为自己懒了,所以就去问一个朋友,然后
cors-gate:在服务器端执行CORS
04-29
连接兼容的中间件,可根据CORS规则有选择地拒绝请求。 如果只需要支持现代浏览器,则可以使用它替代CSRF令牌。 有关更多信息,请参见。 安装 在您的项目中运行此命令: $ npm install cors-gate 测试 $ npm test ...
四年300个攻击技术总结(2006-2009)
blogfeifei
03-17 265
(2006:1-65 | 2007:66-148 | 2008:149-218 | 2009:219-300) 300种思路,300个变通思维。部分文章需看。1.The Attack of the TINY URLs2.Backdooring MP3 Files3.Backdooring QuickTime Movies4.CSS history hacking with evil marketi...
WEB跨域资源共享:Cross-origin Resource Sharing(CORS)
weixin_30813225的博客
09-17 292
跨域资源共享(CORS):浏览器同源策略中的同源指协议+域名+端口三者完全一致,其中任何一个不同即为跨域 1. 浏览器同源策略是隔离潜在恶意文件的安全机制,限制信息传递和使用的边界,不是信息的保密机制。<img><script><link>以及表单提交都可实现跨域请求,但可能会不同程度受同源策略的限制,因浏览器不同而异; 2. 跨域资源共享(CORS...
html5 cors,HTML5中的CORS
weixin_29111277的博客
06-27 402
跨域资源共享(CORS)是一种允许来自Web浏览器中另一个域的受限资源的机制假设,如果您在html5演示部分中单击HTML5-视频播放器。它将询问相机许可。如果用户允许该权限,则仅会打开摄像头,否则不会为网络应用程序打开摄像头在这里,Chrome,Firefox,Opera和Safari都使用XMLHttprequest2对象,而Internet Explorer使用类似的XDomainReque...
记录一个cors nginx跨域配置
shooke笔记
05-24 817
location / { if ($request_method = 'OPTIONS') { add_header 'Access-Control-Allow-Origin' 'http://10.140.10.40'; add_header 'Access-Control-Allow-Cr
html5 cors,html5使得CORS更简单
weixin_31985599的博客
06-27 267
以前使用CORS时比较麻烦,浏览器各种设置// Create the XHR object.function createCORSRequest(method, url) {var xhr = new XMLHttpRequest();if ("withCredentials" in xhr) {// XHR for Chrome/Firefox/Opera/Safari.xhr.open(met...
: Cannot find module 'cors'
最新发布
10-19
当出现"Cannot find module 'cors'"的错误时,通常是因为没有安装cors模块或者没有正确导入和挂载该模块。解决方法如下: 1. 检查是否已经安装了cors模块,可以在package.json文件中查看是否有“cors”: “^2.8.5”这一行,如果没有则需要手动安装,使用命令npm install cors -D进行安装。 2. 在代码中正确导入cors模块,使用var cors = require('cors');进行导入。 3. 在代码中正确挂载cors模块,使用app.use(cors());进行挂载。 如果以上方法都没有解决问题,可以尝试使用引用中提到的CORS模块,安装方法和使用方法可以参考该引用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值