又是漏洞扫描。。。
项目描述
tomcat 8.5
jdk8
前后端不分离(没有nginx)
漏洞描述
CORS 是一种浏览器安全机制,用于限制跨域请求。服务器应该配置CORS策略来限制哪些来源(Origin)可以访问其资源,从而防止跨站请求伪造(CSRF)等攻击。如果服务器配置不正确,即使更改Origin 字段为其他网站的URL,仍然可以正常操作,这可能暴露了跨域请求的安全风险。
测试步骤
http://IP地址/login.html?url=index.html
修改数据包中的Origin 为http://www.baidu.com 后,请求的Origin 与目标应用程序的CORS 配置不匹配,服务器应该返回CORS 错误或拒绝访问的响应,而不是返回正常的登录界面。
就是说,他们通过抓包,修改包中的origin的值,修改成任何字符串都能进行登录;不只是登录,页面上能做的操作都能做。
修复方法
先上参考文章
参考文章1
按照参考文章就能解决了,找到文章里tomcat修改部分,不过参考文章里有些小瑕疵,有一处写错了,不知道改没改,我在他评论区也留言了。
第一步
下载jar包,
需要 cors-filter-1.7.jar与java-property-utils-1.9.jar
cors-filter-1.7.jar下载地址
这个网站可以下载很多jar包,直接搜索就行了,
不会用这个网站的可以看下面的参考文章2
参考文章2
注意我只给了一个jar包链接,别忘了下载另一个。
下载好后放到tomcat/lib下
第二部
修改配置文件 tomcat/conf/web.xml,加入下面的配置
<filter>
<filter-name>CORS</filter-name>
<filter-class>com.thetransactioncompany.cors.CORSFilter</filter-class>
<init-param>
<param-name>cors.allowOrigin</param-name>
<!-- <param-value>*</param-value> -->
<!-- 允许访问的网站,多个时用逗号分隔,*代表允许所有 -->
<param-value>*.xxx.com,http://IP:80</param-value>
</init-param>
<init-param>
<param-name>cors.exposedHeaders</param-name>
<param-value>Set-Cookie</param-value>
</init-param>
<init-param>
<param-name>cors.supportsCredentials</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CORS</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
然后重启项目,就OK了
我还使用burpsuite这个工具做了一个测试,解决了这个漏洞,怎么测试就不写了,我只是简单使用这个工具进行抓包、改包。
吐槽
漏洞真多呀,改了一周了,tomcat全是漏洞了。
结语
欢迎评论区、私信留言,交流技术。