We Still Don’t Have Secure Cross-Domain Requests: an Empirical Study of CORS
作者介绍
- This paper is included in the Proceedings of the 27th USENIX Security Symposium.August 15–17, 2018 • Baltimore, MD, USA
- Jianjun Chen:Tsinghua
- Jian Jiang:Shape Security
相关知识
CORS
Cross-Origin-Resource-Sharing,跨域资源共享。当访问一个资源文件时,如果从非该资源文件所在的服务器不同域名或者端口处进行访问时,该资源会发起一个跨域请求。
http://www.domain-a.com的HTML页面通过 img 标签中的 src 属性请求http://www.domain-b.com/static/xxx.png 图片资源,此时,就发生了跨域请求。
服务端支持CORS:CORS标准新增了一组HTTP首部字段,允许服务器声明哪些请求源有权限访问哪些资源。主要思想就是使用自定义的HTTP头部让浏览器与服务器进行沟通,从而决定响应是成功还是失败,它允许了浏览器向跨源服务器发送请求,从而克服了同源的限制。
浏览器必须首先使用OPTIONS方法发起一个预检请求(preflight request),从而获知服务端是否允许该跨域请求。服务端返回允许响应后,才发起实际的HTTP请求。在预检请求的返回中,服务端也可以通知客户端,是否需要携带身份凭证(cookies和HTTP认证相关数据)。
对于简单请求(HEAD、GET、POST),浏览器直接发出CORS请求。具体来说,就是在头信息之中,增加一个Origin字段。
GET /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0…
不在许可范围内,服务器会返回一个正常的HTTP回应。浏览器发现,这个回应的头信息没有包含Access-Control-Allow-Origin字段
可许可
Access-Control-Allow-Origin: http://api.bob.com //要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求
Access-Control-Allow-Credentials: true //可选。它的值是一个布尔值,表示是否允许发送Cookie。
Access-Control-Expose-Headers: FooBar //可选。CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定。
Content-Type: text/html; charset=utf-8
Same Origin Policy
同源策略:A网页设置的 Cookie,B网页不能打开,除非这两个网页"同源"
- 协议相同
- 域名相同
- 端口相同
为了保证用户信息的安全,防止恶意的网站窃取数据。
同源策略限制的不同源之间的交互主要针对的是js中的XMLHttpRequest等请求,下面这些情况是完全不受同源策略限制的:
- 页面中的链接,重定向以及表单提交是不会受到同源策略限制的
- 跨域资源嵌入是允许的,当然,浏览器限制了Javascript不能读写加载的内容
跨域问题:
- 在WEB服务器或者服务端脚本中设置ACCESS-CONTROL-ALLOW-ORIGIN头部,如果设置了这些头部并允许某些域名跨域访问,则浏览器就会跳过同源策略的限制返回对应的内容。此外,如果你不是通过浏览器去获取资源,比如你通过一个python脚本去调用接口或者获取js文件,也不在这个限制之内。
- 通过ajax调用其他域的接口会有跨域问题。
跨源发送的风险
Cross Site Request Forgery (CSRF)
跨站请求伪造,CSRF则通过伪装成受信任用户的请求来利用受信任的网站。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。
防御手段:
- 尽量使用POST,限制GET
- 浏览器Cookie策略
- 加验证码
- Referer Check
- Anti CSRF Token
参考文献:浅谈CSRF攻击方式
HFPA
允许攻击者使用受害者的浏览器作为攻击基于文本的协议服务(例如SMTP)的垫脚石
摘要
默认的同源策略实质上将访问跨域网络资源限制为“只写”。但是,许多Web应用程序需要“读取”访问来自不同来源的内容。开发人员提出了一些解决方法,例如JSON-P,以绕过默认的同源策略限制。这种临时解决方案留下了许多固有的安全问题。 CORS(跨源资源共享)是一种更加自律的机制,所有Web浏览器都支持它来处理跨域网络访问。本文介绍了我们对CORS实际应用的实证研究。我们发现CORS的设计,实现和部署受到许多新的安全问题的影响:
- CORS以一些在实践中存在问题的微妙方式放松了交叉起源的“写”特权;
- CORS将新形式的风险信任依赖带入Web交互;
- 开发人员通常不会很好地理解CORS,可能是因为它的策略不及时以及与其他Web机制的复杂而细微的交互,导致各种错误配置。
最后,我们提出协议简化和内容的清晰明了,以减轻我们研究中发现的安全问题。我们的一些建议已被CORS规范和主要浏览器采用。
研究动机
JSON-P可以访问导入的跨源JavaScript以解决同源策略限制问题,但它存在安全隐患。CORS的提出以允许访问跨源资源(2009)。对CORS协议的设计、使用、开发及新的安全事件中来研究CORS的安全性。
发现的问题
- 过度宽松的交叉发送权限;
- CORS固有的安全隐患;
- 复杂的CORS细节以及大量的配置错误。
贡献
- 对CORS在设计、应用、开发方面进行了复杂的安全研究;
- 发现了许多新的与CORS相关的安全问题,并通过实际攻击证明了它们的后果;
- 对流行网页CORS配置的测量研究,并提出了新的识别CORS错误配置的工具;
- 总结并强调了存在安全问题的原因,并提出建议(简单化、清晰化)
论文结构
1.Introduction
2.CORS发展
3.实验方法
4. 5. 6. CORS安全问题
7.协议简单化
8. 回复
9.相关工作
10.总结
实验部分
model
web attackers & active network attackers
实验方法
参考:
W3C发布跨源资源共享(CORS)的正式推荐标准
WHATWG’s Fetch standard
- 研究了CORS实现,包括5个主流浏览器和11个流行的开源Web框架,以了解CORS功能在实践中的实现方式。
- 对Alexa Top 50,000网站进行了大规模测量,包括其97,199,966个不同的子域名。对于每个域,我们使用不同的请求标识发送跨源请求,以检查响应标头中的CORS策略。
实验总结
Overly Permissive Sending Permission
Crafting Request Headers
1.CORS允许在其新的JavaScript接口(例如,XML-HttpRequest Level2,fetch)中默认自由发送“简单请求”。然而,这些新的接口(后来称为“CORS接口”)实际上隐含地进一步放宽了发送权限,无意中允许在CORS简单请求中恶意定制HTTP头和主体。
对五种主流浏览器(Chrome,Edge,Firefox,IE,Safari)的测试中,除了Safari之外,除了Content-Type之外的任何标题都没有任何限制。
eg. “(){:;};”(不断递归,不停地制造后台任务,Shellshock漏洞)
将Content-Type限制为三个特定值(“text / plain”,“multipart / form-data”,“application / x-form-url-encoded”),可以绕过限制。所有这些前缀匹配三个值并忽略第一个逗号或分号之外的剩余值。因此,攻击者仍然可以通过将攻击有效负载附加到有效值来在Content-Type标头中创建恶意内容。网络攻击者可以使用CORS简单的请求操纵受害者的浏览器来制作利用有效负载。
实验:在本地网络中建立了一个Apache Struts环境,该环境具有s2-045漏洞(内部网络中,因此来自外部网络的网络攻击者应该是不可利用的),在CORS的帮助下,我们确认攻击者可以设置一个网页,通过Content-Type标头发送带有恶意负载的跨域请求。内联网受害者访问此页面后,将触发此漏洞。在我们的实验中,此攻击使我们能够在内部服务器上获取shell。
2.CORS对标头大小的限制很少。
在HTTP或CORS标准中,请求标头大小没有明确的限制。我们测试了五个主要浏览器,发现它们都允许在CORS接口中至少有16MB的一个或多个标头。当我们将标头设置为非常大的值(例如,1 GB)时,浏览器产生“没有足够的内存”错误,而不是“标头大小太大”错误。这比其他Web组件(例如,Web服务器)强制执行的请求大小限制要大得多。
侧信道攻击:攻击者首先通过直接发出具有增加大小标头的请求来测量目标Web服务器的标头大小限制,直到收到400 Bad Request响应。然后攻击者在受害者的浏览器中发送“简单请求”,并使用精心设计的标头值,使标头大小略小于测量限制。如果存在cookie,cookie将自动附加在请求中。总标头大小将超过限制,从而产生400 Bad Request响应。如果没有cookie,目标服务器将返回200 OK响应。& 时间长短判断->推断出有关受害者cookie的更多细节;存在cookie可能泄露有关受害者的私人信息
Crafting Request Bodies
1.CORS缺乏对body格式的限制
- “application/x-www-form-urlencoded”: name1 = value & name2 = value
- “text/plain”: = , 回车
- “multipart/form-data”:form-data; name = “title”; filename = “myfile”.
实验:对body格式的限制。测试了五个浏览器,发现它们都允许JavaScript以任何格式发送带有正文数据的跨源请求。组合请求机构的这种灵活性可能导致新的安全问题。攻击者可以利用以前无法利用的文件上传CSRF漏洞。在HTML表单中,文件选择控件的“文件名”属性不能由JavaScript控制,并且仅当用户在文件对话框中进行选择时才由浏览器自动设置。在CORS之前,检查服务器端是否存在“filename”属性足以阻止文件上载CSRF。然而,CORS打破了这种防御,允许攻击者设计身体设置“文件名”属性,从而能够启动文件上传CSRF攻击。我们在JD.com(Alexa等级20)的个人帐户页面中发现了这种情况,除了上传文件以更改用户的头像外,其在每个输入位置都有CSRF防御。没有CORS,这种脆弱性是不可行的。我们确认,使用CORS,攻击者可以利用此CSRF漏洞来修改受害者的头像。
2.CORS缺乏对body值的限制
浏览器中的CORS标准和CORS接口对请求体的值没有任何限制,这为攻击者提供了更大的灵活性。
可以利用基于二进制的协议服务。测试了MacOS内置的AFP服务器,发现它总是使用16字节对齐来解析数据,忽略任何无法识别的16字节帧并继续解析下一个16字节帧。通过利用CORS接口,攻击者可以创建一个跨源请求,使其头大小为16字节的倍数,AFP服务器会忽略它,并构建其AFP协议格式的二进制体,以便与AFP通信服务器。我们在实验中证明了这种攻击:通过从公共网站发送跨源请求,我们可以在位于我们受其他方式保护的Intranet中的AFP服务器上创建新文件。
Risky Trust Dependency
HTTPS Site Trust HTTP Domain
如果HTTPS站点配置了CORS并信任其自己的HTTP域,则MITM攻击者可以首先填充可信HTTP域,然后将来自此域的跨源请求发送到HTTPS站点,并间接读取HTTPS域下的受保护内容。
Fedex.com 配置CORS并信任其HTTP域,因此MITM攻击者可以首先劫持HTTP域,然后发送跨源请求以读取HTTPS内容。在实验中验证了此攻击:它允许攻击者阅读详细的用户帐户信息,例如用户名,电子邮件地址,家庭地址,Fedex.com上的信用卡。
Trusting Other Domains
- Trusting all of its own subdomains:利用子域攻击主域
- Trusting third-party domains:利用第三方攻击
CORS Measurement
CORS测量:针对Alexa Top 50,000域名,并且利用DNS数据库提取子域名。在49,729个不同的基础域上收集了97,199,966个不同的子域。
实验方法:在不同的测试请求中反复将Origin头值更改为不同的易出错值,并根据响应头推断出它们的CORS配置。
eg. 测试HTTPS trusts HTTP,在origin header 置:“Origin: http://example.com”
如果收到“Access-Control-Allow-Origin:http://example.com”,则代表成功。
结果:481,589 sub-domains over 22,049 base domains
HTTP:
1)标准并没有明确强调安全风险。2)某些Web框架无法检查协议类型。3)一些Web应用程序允许http和https协议类型以实现更好的兼容性
trusting third-party domains:
1)标准中没有风险警告。 2)信任任意第三方子网简化了Web开发人员配置
Complex Policies and Misconfigurations
开发web 框架
1.Poor Expressiveness of CORS Policy
- 盲目地反映请求者在响应头中的origin;
- 尝试验证请求者的origin但是犯了错误。
Access-Control- Allow-Origin header value:null,*,value
2.Origin Forgery
CORS stan- dards also lack clear definition of null value
3.Complexity of Security Mechanisms
Access-Control-Allow-Origin=“”限制规则:“Access-Control-Allow-Origin:”和“Access-Control-Allow-Credentials:true”不能同时使用。
但是很多web不知道
4.CORS and Cache
大多数Web代理仅基于URL缓存HTTP内容,而不考虑相关的CORS策略。如果使用针对一个域的CORS策略缓存与多个域共享的资源,则由于CORS策略违规,其他域将无法访问该资源。
讨论
- 向后兼容性需要恰到好处,过度反而会降低安全性
- 在部署时对新协议进行全面评估——不能不成熟的情况下用啊
- 协议人员应充分学习协议的安全性;规则要强调,标准需时刻更新
提升:
- 默认的发送权限应该更具限制性:Access-Control-Max-Age来缓存预检请求
- 限制CORS简单请求格式和值
- CORS配置更加简洁明了
- null定义需清晰
- 风险等级需要严格评估和总结
相似工作
Cross-Origin Sending Problems
CORS Misconfiguration Problems
Other Cross-Origin Problems
感悟
- 什么是CORS
- CORS安全隐患
- CORS安全隐患的修补策略
- 对新协议应用的敏感性