CORS 请求未能成功_CORS攻击概述

最新推荐文章于 2024-09-25 08:55:50 发布
最新推荐文章于 2024-09-25 08:55:50 发布
阅读量213 收藏
点赞数
文章标签: CORS 请求未能成功

eb4b5b9965e827daa9116cd60f1258d6.png

原创: 慌得一批 合天智汇

0x01.CORS简介CORS是一个W3C标准,全称是"跨域资源共享"(Cross-originresource sharing)。
出于安全原因,浏览器限制从脚本中发起的跨域HTTP请求。默认的安全限制为同源策略,即JavaScript或Cookie只能访问同域下的内容。
而CORS允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。0x02.分类CORS请求分成两类:简单请求(simplerequest)和非简单请求(not-so-simplerequest)
只要同时满足以下两大条件,就属于简单请求。
(1)请求方法是HEAD,GET,POST之一
(2)HTTP的头信息不超出以下几种字段。
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type:(只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain)
凡是不同时满足上面两个条件,就属于非简单请求。
对于简单请求,浏览器直接发出CORS请求。具体来说,就是在头信息之中,增加一个Origin字段。
如果Origin指定的源,不在许可范围内,服务器会返回一个正常的HTTP回应。如果回应的头信息没有包含Access-Control-Allow-Origin字段,浏览器就会抛出一个错误,被XMLHttpRequest的onerror回调函数捕获。注意,这种错误无法通过状态码识别,因为HTTP回应的状态码有可能是200。
如果Origin指定的域名在许可范围内,服务器返回的响应,会多出几个以Access-Control-开头的字段。
其中最重要的两个是Access-Control-Allow-Origin和Access-Control-Allow-Credentials
Access-Control-Allow-Origin是必须的,它表示可接受跨域的域名
Access-Control-Allow-Credentials是可选的。它的表示是否允许发送Cookie或其他凭据这里要敲重点了,通常是由于Access-Control-Allow-Origin配置不当从而引发导致跨域问题。
对于非简单CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为预检请求(preflight)
一旦服务器通过了预检请求,以后每次浏览器正常的CORS请求,就都跟简单请求一样0x03.CORS漏洞测试通常,当服务器收到头部带有Origin字段的请求的时候才会配置CORS
所以我们需要发送头部带有Origin的数据包来进行测试
curlhttps://api.artsy.net -H "Origin: http://bbb.com" -I
HTTP/1.1200 OK
Access-Control-Allow-Credentials:true
Access-Control-Allow-Origin:http://bbb.com
....
可以看到Access-Control-Allow-Origin返回的是我们的Origin值
这便意味着可以接受来自http://bbb.com的跨域请求
那很明显这个站点就存在CORS漏洞了
如果http://bbb.com是我们控制的一个网站或者该网站有XSS等漏洞我们便可以利用该漏洞对https://api.artsy.net进行CORS攻击
首先讲恶意js植入http://bbb.com当用户访问时js便在不知不觉中发起跨域请求窃取用户在https://api.artsy.net上的敏感信息或进行敏感操作
利用:<script type="text/javascript">var xhr = new XMLHttpRequest();xhr.onreadystatechange = function() {if(xhr.readyState === 4) {console.log(xhr.responseText);}}xhr.open("GET", " https://api.artsy.net ");xhr.send();</script>
首先将以上代码保存为1.html
然后用游览器打开1.html并打开控制台

e6a4479b3223500f6af8e30cb9b47038.png


这里可以我们可以看到游览器成功的进行了一次跨域请求
控制台输出了https://api.artsy.net的源代码
所以如果https://api.artsy.net包含了用户的敏感信息或进行敏感操作那就可以被攻击者读取到,之后可以再用XMLHttpRequest发送到攻击者的服务器上
可能有的同学就要抬杠了,直接这样请求不是挺正常么
那我们现在把https://api.artsy.net换成https://www.baidu.com看看
很明显,游览器不会让我们这么干

e9d59982dfd4ed976c2c1176e2c66903.png


因为服务器没有返回CORS头,游览器就不会进行跨域请求0x04防御(1)如果没有必要就不要开启CORS(2)严格限制域白名单,而不是使用*(3)尽量避免使用Access-Control-Allow-Credentials

weixin_39987138
关注
CORS跨域资源共享漏洞验证测试
afei001
01-17 3342
目录 1.前言 2.CORS漏洞概述 3.漏洞验证 3.1 curl指定Origin验证 3.2 Burpsuite抓包验证 3.3 CORS_Scanner工具验证 4.CORS_POC.html 5.漏洞修复 1.前言 之前在对网站进行安全性测试时,使用AWVS漏扫发现存在一个CORS跨域资源共享漏洞。记录一下验证及修复方式。 afei 漏洞等级:高危 2.CORS漏洞概述 CORS(跨源资源共享)定义了一种机制来支持客户端跨源...
原因:cors 请求未能成功_CORS - 现代网络中的跨域通信
weixin_39797264的博客
12-03 1281
假如你刚刚使用最新最好的JavaScript框架构建了一个非常酷的博客应用程序。您脚手架使用应用程序Nuxt.js,使用构建组件Vue.js和使用Vuex状态管理。在后端,您使用Node.js,FeathersJS和Express创建API 。您的后端通过API向您的前端提供博客文章数据。在将代码推送到服务器之前,您决定测试一切是否正常工作。您的Vue应用程序http://localhost:30...
CORS 请求未能成功_浅谈Web请求的过程
weixin_39631951的博客
11-22 165
 DNS解析域名  我们都知道Http/Https是基于TCP的应用层协议,他们其实对主机是不敏感的,但是其底层的TCP对主机是敏感的:TCP需要一个ip地址来唯一标识一个目的主机。  我们在浏览器浏览时,通常都是输入www.xxx.com域名,我们需要的ip从何而来呢?这就要归功于DNS域名解析了。 DNS解析域名的原理其实就是建立了的一个映射关系,这个映射关系可能保存在DN...
如何解决跨域请求中的 CORS 错误
最新发布
官方推荐
09-25 1万+
如何解决跨域请求中的 CORS 错误
CORS请求未能成功
llllmc的博客
06-24 995
CORS请求失败
原因:cors 请求未能成功_CORS跨域漏洞学习
weixin_39963174的博客
12-01 2560
简介网站如果存CORS跨域漏洞就会有用户敏感数据被窃取的风险。跨域资源共享(CORS)是一种浏览器机制,可实现对位于给定域外部的资源的受控访问。它扩展了同源策略(SOP)并增加了灵活性。但是,如果网站的CORS策略配置和实施不当,它也可能带来基于跨域的攻击CORS并不是针对跨域攻击(例如跨站点请求伪造(CSRF))的保护措施。同源策略这里我们必须要了解一下同源策略:同源策略是一种限制性...
Firefox浏览器报错:CORS请求未能成功
snowflakelm的博客
08-31 7300
最近在开发中遇到个问题,项目部署完后在Google浏览器能正常使用,但是在Firefox浏览器报跨域拦截(CORS请求未能成功);经检查后端代码以及Nginx都已经配置了跨域相关的代码,按理不应该在出现跨域问题啊。经排查发现问题出在证书上,Firefox认为后端证书不安全从而进行了拦截,好像是项目的域名与证书不一致导致。证书管理器弹窗里切到服务器部分,点击添加例外,再把需要信任的地址添加进去,就可以正常访问了。由于这是浏览器的安全机制做的拦截,只要让浏览器信任该证书就行。...
前端安全防护:XSS与CSRF攻击防范
前端安全主要涉及用户输入数据的合法性验证、前端代码的安全编写、跨站脚本攻击(XSS)和跨站请求伪造(CSRF)等网络攻击的防范。 ## 1.2 前端安全的重要性 在Web开发中,前端是用户与网站交互的窗口,承载着大量...
Go Web安全实战:专家级Gin_Echo框架安全加固指南
!...# 1. Go Web安全概述 ## 概述 随着网络应用的迅速发展,Web安全已成为IT行业最为关注的话题之一。...然而,随着应用数量的增加,Go Web应用的安全漏洞也逐渐成为攻击者的目标。 ## Web安全的重要
**打造安全堡垒:10个***自定义授权策略与OWIN_Katana集成
OWIN_Katana与自定义授权策略概述 在构建现代Web应用程序时,授权策略的合理实施是确保应用安全性的重要环节。OWIN_Katana提供了一个开放的Web应用程序接口标准,使.NET平台上的应用程序能够以非侵入式的方式实现...
Jquery Post处理后不进入回调的原因及解决方法
10-25
2. 网络问题导致请求失败或响应数据未能成功返回到客户端。 3. 客户端脚本在请求或处理数据过程中存在JavaScript错误,导致回调函数未执行。 4. 服务器端处理逻辑可能出现异常,未能返回预期的响应。 5. 浏览器安全...
原因:cors 请求未能成功_Cors最佳实践
weixin_39837352的博客
11-24 3757
基础知识CORS(Cross-Origin Resource Sharing),跨域资源共享,是浏览器跨域的官方解决方案。相比其他常见的跨域解决方案(jsonp、iframe、postMessage),CORS具有以下优点:前端代码优雅。CORS由浏览器和后台交互完成,前端开发者感受不到和同源通信的差别,代码完全一样;规范标准,兼容性好,IE10以上都支持,浏览器之间几乎没有差异;支持所...
原因:cors 请求未能成功_CORS的进阶利用
weixin_39616287的博客
11-24 314
简介主要看了Corben Leo的Advanced CORS Exploitation Techniques这篇文章,对这篇文章的一个翻译吧,收获良多,复现一下cors漏洞的进阶利用。直入正题。 CORS介绍这里就借OWASP的关于CORS的介绍。CORS stands for Cross-Origin Resource Sharing.Is an feature offering the pos...
原因:cors 请求未能成功_你应该了解的 CORS
weixin_39986169的博客
11-30 923
原文:What you should know about CORS作者:Nicolas Bailly译者:博轩如果你和我一样,第一次遇到CORS (跨域资源共享),你想让服务器接收那些你拼接的 Ajax 请求并处理他们。所以你去 stackoverflow.com 复制一段代码来设置一些 HTTP Headers,让请求可以正常工作。但是,可能还有一些事情你应该知道。CORS 是什么,...
HTTP访问控制
weixin_30587025的博客
02-22 266
HTTP访问控制 跨域资源共享(CORS) 是一种机制,它使用额外的 HTTP 头来告诉浏览器,让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。 出于安全原因,浏览器限制从脚本内发起的跨源HTTP请求。 例如,XMLHttpRequest和Fe...
原因:cors 请求未能成功_关于前端的跨域、CORS和JSONP
weixin_39664998的博客
12-03 800
什么是跨域?跨域就是不同源的数据相互访问,受到浏览器同源策略的限制。那甚么又是同源策略?同源策略是浏览器故意设置的一个功能限制,为的是限制来自不同源的域向自己发送请求的时候进行拦截,浏览器这样做的目的是为了保护用户的隐私。同源的定义:源:window.origin 或 location.origin可以得到当前源源 = 协议 + 域名 + 端口号。如果两个url的协议域名和端口都完全相同,那么这两...
15 张精美动图全面讲解 CORS
卤蛋实验室
08-03 348
前言: 本文翻译自 Lydia Hallie 小姐姐写的 ✋???????? CS Visualized: CORS,她用了大量的动图去解释 CORS 这个概念,国内还没有人翻译本文,所以我在原文的理解上翻译了本文并修改了一些错误,希望能帮到大家。 觉得翻译的不错一定要点赞哦,谢谢你,这对我真的很重要! ???? 注:原文的动图均为 keynote 制作 前端开发中,我们经常要使用其他站点的数据。前端显示这些数据之前,必须向服务器发出请求以获取该数据。 假设我们正在访问 https://api.my
原因:cors 请求未能成功_三种对CORS错误配置的利用方法(转)
热门推荐
weixin_39752087的博客
11-29 6万+
同源策略(SOP)限制了应用程序之间的信息共享,并且仅允许在托管应用程序的域内共享。这有效防止了系统机密信息的泄露。但与此同时,也带来了另外的问题。随着Web应用程序和微服务使用的日益增长,出于实用目的往往需要将信息从一个子域传递到另一个子域,或者在不同域之间进行传递(例如将访问令牌和会话标识符,传递给另一个应用程序)。为了允许跨域通信,开发人员必须使用不同的技术来绕过SOP并传递敏感信息,以至于...
CORS 请求未能成功_【全栈修炼】CORS和CSRF修炼宝典
weixin_39774905的博客
11-22 143
CORS 和 CSRF 太容易混淆了,看完本文,你就清楚了。一、CORS 和 CSRF 区别先看下图:两者概念完全不同,另外常常我们也会看到 XSS ,这里一起介绍:CORS : Cross Origin Resourse-Sharing 跨站资源共享CSRF : Cross-Site Request Forgery 跨站请求伪造XSS : Cross Site Scrit 跨站脚本攻击(为与...
cors 请求未能成功
06-02
CORS(跨域资源共享)请求未能成功通常是由于浏览器的安全策略所致。浏览器会限制跨域请求,以保护用户的安全和隐私。要解决这个问题,你可以在服务端设置响应头来允许跨域请求,或者使用代理服务器来转发请求。另外...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值