浏览器中xhr选项是做什么用的呢_如何绕过Play框架中的CSRF保护(CVE202012480漏洞)...

最新推荐文章于 2023-11-12 22:51:07 发布
最新推荐文章于 2023-11-12 22:51:07 发布
阅读量219 收藏
点赞数
文章标签: 浏览器中xhr选项是做什么用的呢
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35744163/article/details/112408320
版权

0d2281b689cb60fd4e750c61d25a1bd8.gif

我会在这篇文章介绍一个影响Play框架的漏洞,此漏洞允许在特定配置下绕过完整的跨站点请求伪造(CSRF)保护。play 框架是一个full-stack(全栈的)Java Web的应用框架,包括一个简单的无状态MVC模型,具有Hibernate的对象持续,一个基于Groovy的模板引擎,以及建立一个现代Web应用所需的所有东西。

不过在攻击者眼中,Play框架是一个针对java和scala的高速web框架。它构建在Akka之上,Akka是一个工具包,用于为Java和Scala构建高度并发、分布式和弹性的消息驱动应用程序。

Play是一种广泛使用的框架,并且已部署到大型和小型组织的Web平台上,例如Verizon,Walmart,The Guardian,LinkedIn,Samsung等。

69a83f4eda37ef3f83fe107538003467.png

较早版本的反csrf机制

在较早版本的框架中,CSRF保护是由一种不安全的基线机制提供的,即使在HTTP请求中没有出现CSRF令牌时也是如此。

这种机制基于简单请求和完整请求之间的基本区别,简单请求具有严格的规则集,只要遵循这些规则,即使通过XMLHttpRequest,用户代理(例如浏览器)也不会发出OPTIONS请求。尽管我们主要对Content-Type规则集感兴趣,但可以在此Mozilla的开发人员页面上看到所有规则和详细信息。

简单请求的Content-Type标头可以包含以下三个值的一个:

d3f9c37c49b19d3d4627ee399c0c3d35.png

如果你指定了不同的内容类型,比如application/json,那么浏览器将发送一个选项请求来验证web服务器是否允许这样的请求。

现在我们了解了完整请求和简单请求之间的区别,可以继续了解Play是如何抵御CSRF攻击的。

在该框架的旧版本中(包括2.5版本之前),在接收内容类型报头时使用黑名单方法作为CSRF预防机制。

在2.8.x迁移指南中,我们可以看到用户如何根据旧版系统或其他依赖项的要求恢复Play的原有默认行为:

69a83f4eda37ef3f83fe107538003467.png

application.conf

ac506ad798e8d1994b1d7d9b942a5e0e.png

在上面的代码片段中,我们可以看到原有保护的核心。contentType.blackList设置包含三个值,它们与“simple requests”的内容类型相同。由于防止了以下情况,因此已将其视为有效的(尽管不是理想的)保护:

1.Attacker.com嵌入

2.Attacker.com使用XHR通过application / json将其发布到victim.com,由于application / json不是一个“simple request”,因此将发送一个OPTIONS,并且CORS将阻止该请求(假设配置正确)。

3. victim.com使用XHR将application / json发布到victim.com,由于请求不是跨站点的,而是在同一个域内,因此它应能正常工作。

以上就是CSRF保护的机制。

69a83f4eda37ef3f83fe107538003467.png

如何绕过

有了以上这些知识铺垫,首先想到的就是我们需要使浏览器发出一个不会触发预检并且与contentType.blackList设置中的任何值都不匹配的请求。

我们要做的第一件事是绘制出可以在不发送OPTIONS预检的情况下进行修改的请求,这还可以归结为一个请求:Content-Type:multipart / form-data。

使用边界值Content-Type: multipart/form-data; boundary=something,会立即显得很有趣。详细描述可以在这里找到:

c2d03a1948b1f05435237e486bfba9fc.png

因此,我们有一个字段,实际上可以修改与许多不同的字符,它是所有攻击控制。

现在我们需要深入分析这些头,为了做到这一点,我们需要看一下Play框架所基于的Akka HTTP。

查看HttpHeaderParser.scala,我们可以看到这些标头始终是被解析的:

b3d0123b23a194a27d9ec216c49232c4.png

解析规则可以在HeaderParser.scala中看到,该文件遵循RFC 7230超文本传输协议(HTTP / 1.1):消息语法和路由,2014年6月。

bea6a798e738d0ee22ea6451837d7e82.png

如果不遵守这些解析规则,则该值将设置为None。完美!这正是我们绕过CSRF保护所需要的一个“简单请求”,然后将其设置为None,从而绕过黑名单。

我们如何伪造一个被浏览器允许,但Akka HTTP解析代码认为无效的请求呢?

于是我们决定模糊化这个请求,并很快发现下面的转换是有效的:

Content-Type: multipart/form-data; boundary=—some;randomboundaryvalue

在边界值内加一个分号就可以了,它会把请求标记为非法:

707a530c499c837909577487e22d6f66.png

69a83f4eda37ef3f83fe107538003467.png

响应

a5509811680cbc70f198a6086bb82ec9.png

通过在开发模式下查看服务器的日志也可以确认这一点:

cafdd183340c8c46e72049f0c0a45955.png

并且通过检测Play框架代码来打印Content-Type的值:

Content-Type: None

最后,我们构建了以下概念验证并通知了Play框架维护人员:

2182896927452ac980c1fe5a97fd89da.png

此漏洞已在Play 2.8.2和2.7.5中修复,且在2020年8月10日被命名为CVE-2020-12480 。

参考及来源:https://blog.doyensec.com/2020/08/20/playframework-csrf-bypass.html

4d602d3064c48592daee21d34d71e2ff.png

3cc286a7f2667d6f05abe8d6d6bb0efe.png

奔跑的楠子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
小程序的数据接口
☆夏の独憶☆
04-08 1078
微信小程序的数据请求 常用的数据请求方式 JS原生实现 第一种: let xhr=new XMLHttpRequest() xhr.open() xhr.send() 第二种:fetch() 支持promise fetch('接口地址') .then(function(response) { return response.json(); }) .then(function(myJson) { console.log(myJson); }) .cat
XHR 的各种data类型对应的content-type header是什么?手写 XHR
scorpio的世界
01-17 2418
XHR 的各种data类型对应的content-type header是什么? 1、application/x-www-form-urlencoded:最早的post请求,参数通过浏览器url传递,不支持文件上传 POST /test HTTP/1.1 Host: foo.example Content-Type: application/x-www-form-urlencoded Con...
web安全—CSRF和XSS详解
qq_42586895的博客
02-22 1913
CSRF和XSS CSRF CSRF (Cross Site Request Forgery)攻击,文名:跨站请求伪造。 攻击原理:攻击者构造网站后台某个功能接口的请求地址,诱导用户去点击或者用特殊方法让该请求地址自动加载。用户在登录状态下这个请求被服务端接收后会被误以为是用户合法的操作。对于 GET 形式的接口地址可轻易被攻击,对于 POST 形式的接口地址也不是百分百安全,攻击者可诱导用户...
关于访问https时,绕过证书验证
potatotamato的博客
08-29 1711
private JSONObject doPost(String url){ //创建httpClient HttpClient client = HttpClientBuilder.create().build(); //绕过证书验证 try{ HttpsClientUtil.trustAllHttpsCertificates(); } catch (Exception e){ e.printStackTrace(); } HostnameVerifier hv = new Host
深入理解ajax系列第一篇——XHR对象
weixin_33827965的博客
11-11 220
前面的话   1999年,微软公司发布IE5,第一次引入新功能:允许javascript脚本向服务器发起HTTP请求。这个功能当时并没有引起注意,直到2004年Gmail发布和2005年Google Map发布,才引起广泛重视。2005年2月,ajax这个词第一次正式提出,指围绕这个功能进行开发的一整套法。从此,ajax成为脚本发起HTTP通信的代名词,W3C也在2006年发布了它的国际标准。...
web头协议解释
华中师范大学 叶智(Java)
07-17 368
web.xml文件<web-app>的各参数如下它们分别代表什么意思呢? <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:javaee="http://java.sun.com/xml/ns/javaee" xml
xhr.zip_evidence5a8_thing1y8_xhr01_com_xhr11111.com_线性回归
09-15
xhr.zip_evidence5a8_thing1y8_xhr01_com_xhr11111.com_线性回归这个压缩包文件包含了多个文件,主要涉及一个基于线性回归算法的预测模型。线性回归是一种广泛应用的统计学方法,用于研究两个或多个变量之间的关系,...
WEB_Query.zip_WEB_Query.zip_vba url
09-22
标题的"WEB_Query.zip_WEB_Query.zip_vba url"暗示了这是一个使用VBA(Visual Basic for Applications)编程语言处理Web查询的示例,其可能包含了从URL获取数据的代码。描述进一步证实了这一点,说明这是一个...
VB.search.specified.e.mail.address.rar_cootin.rar_vb mail
09-19
在VB(Visual Basic)编程环境,开发者经常需要处理与电子邮件相关的任务,比如搜索特定的电子邮件地址。本示例代码提供了一种方法,通过VB来实现网络搜索指定的电子邮箱地址。这种功能通常用于数据挖掘、市场营销...
etch 异步请求库,用于浏览器和 node.js 的 HTTP 客户端.rar
06-05
浏览器创建 XMLHttpRequests 从 node.js 创建 http 请求 支持 Promise API 拦截请求和响应 转换请求数据和响应数据 取消请求 自动转换 JSON 数据 客户端支持防御 XSRF -----------------------------------
Node.js-获取polyfill支持所有主流浏览器甚至是IE6IE7IE8.....
08-10
在现代Web开发,我们经常遇到的一个挑战是兼容性问题,尤其是在处理JavaScript的新特性时。对于那些不支持这些新特性的老旧浏览器,如IE6、IE7和IE8,我们需要采取一些策略来确保代码能在这些浏览器上正常运行。...
XHR对象详解
最新发布
SUNN1Y的博客
11-12 232
在onreadyStateChange事件处理程序的使用xhr对象而不是使用this对象,原因是onreadyStatechange事件处理程序的作用域问题,如果使用This对象,在有的浏览器会导致函数执行失败,或者导致错误的产生,因此使用实际的XHR对象是比较实用的一种方式。使用xhr对象的时候,浏览器首先会检测原生的XHR是否存在,如果存在则返回它的新实例,如果原生对象不存在就检测ActiveX对象,如果都不存在,就抛出一个错误,然后我们可以使用如下方法创建XHR对象。
解决浏览器XHR跨域请求限制之使用JSONP发起跨域异步请求
weixin_33841722的博客
10-04 658
2019独角兽企业重金招聘Python工程师标准>>> ...
常见 Web 安全攻防
spirit_peri的博客
10-09 373
转自:https://github.com/gauseen/blog/issues/12 一、XSS 攻击 XSS (Cross Site Script),跨站脚本攻击,因为缩写和 CSS (Cascading Style Sheets)重叠,所以叫 XSS。 非持久型 XSS(反射型 XSS ): 一般是 URL 参数上带有恶意脚本代码,当用户点击该 URL 时,恶意代码参数被脚本解析、执行。 XSS 攻击代码演示: <script> const searchParams = new
cocos-creator使用记录14_从web服务器获得分享图信息
haibo19981的专栏
05-25 1039
1.流程1.1.搭建一个可以转发http的服务器要注意:这个服务器要可以被跨域访问,设置一下header就行,如何设置,自行探索。 过程: (1)客户端请求该转发服务器,并把要获取的资源链接当参数传过去; (2)转发服务器收到请求之后解析一下参数,把资源链接提取出来,直接请求资源链接; (3)资源链接返回的数据给转发服务器; (4)转发服务器把收到的资源数据原封不动返回给客户端。 1.2.获取分享...
什么是xhr
kwame211的博客
11-05 638
1、概念 xhr,全称为XMLHttpRequest,用于与服务器交互数据,是ajax功能实现所依赖的对象,jquery的ajax就是对 xhr的封装。 2、xhr XMLHttpRequest 对象提供了对 HTTP 协议的完全的访问,包括出 POST 和 HEAD 请求以及普通的 GET 请求的能力。XMLHttpRequest 可以同步或异步地返回 Web 服务器的响应,并且能够以文本或者一个 DOM 文档的形式返回内容。 xhr 接口强...
CSRF漏洞简单理解
u012903926的专栏
10-19 6417
http://www.h3c.com.cn/About_H3C/Company_Publication/IP_Lh/2012/04/Home/Catalog/201208/751467_30008_0.htmCSRF漏洞简介 CSRF(Cross-Site Request Forgery,跨站点伪造请求)是一种网络攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从
csrf攻击原理与解决方法_CVE-2019-7609 Kibana远程代码执行漏洞攻击方法和漏洞原理分析...
weixin_39669133的博客
11-23 137
0×00 前言本漏洞的exp放出来快一星期了,目前网上的分析文章也出了几篇,但是大都集于通过容器简单复现攻击过程,没有深入的分析产生原因和exp的构造原理。笔者借鉴了大牛Michał Bentkowski,也就是漏洞发现者的博客上的英文ppt(参考链接3),写了这篇文章。本文详细介绍了在本地搭建了模拟攻击环境的过程(非docker搭建),并完整分析了这个漏洞的攻击原理。现在分享给大家。0×01 ...
webminCSRF漏洞(CVE-2021-31760)
FODKING的博客
11-26 1024
漏洞CSRF漏洞。webmin是可以管理你的web服务器,攻击者可通过CSRF漏洞,远程执行代码,获取信息及控制服务器。 项目场景: 项目相关背景:该漏洞CSRF漏洞。webmin是可以管理你的web服务器,攻击者可通过CSRF漏洞,远程执行代码,获取信息及控制服务器。 项目搭建: webmin 1.973> 下载webmin http://prdownloads.sourceforge.net/webadmin 安装: [root@linuxtest ~]# tar -zxvf webmi
js打印xhr.status是204,Java后端设置是response.setStatus(200);
06-09
在这种情况下,Java后端设置了响应状态码为200,而JS打印的响应状态码为204,这可能是由于浏览器缓存的原因导致的。你可以尝试在JS添加以下代码来禁用缓存,然后再次发送请求: ```javascript xhr....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值