CORS跨域漏洞浅析

CORS

(Cross-OriginResource Sharing,跨源资源共享)
其思想是使用自定义的HTTP头部让浏览器与服务器进行沟通。因为开发者需要进行跨域进行获取资源,应用场景,在a.com,想获取b.com中的数据,常用的2种方法进行跨域一种为JSONP,一种为CORS.还有html标签也能跨域,有以下几种img, iframe,ink, script等。

简单流程

假设用户登陆一个含有CORS配置网站A,同时又访问了攻击者提供的一个链接B。B的网站向A这个网站发起请求获取敏感数据,浏览器能否接收信息取决于A的配置。
如果A配置了Access-Control-Allow-Origin头且为预期,那么允许接收,否则浏览器会因为同源策略而不接收。

流程图如下:
(假设A网站为aufeng.com, B网站为testcors.com)
在这里插入图片描述

  • aufeng.com端
    其中www.aufeng.com新建一个feng.php,内容为
<?php
echo "username: admin; password:123456";
?>

在这里插入图片描述
那么访问http://www.aufeng.com/feng.php就会如下图所示
在这里插入图片描述

  • 在testcors.com端进行如下配置
<!DOCTYPE>
<html>
<h1>Hello ,cors test. </h1>
<script type="text/javascript">
function loadXMLDoc()
{
    var xhr = new XMLHttpRequest();

    xhr.onreadystatechange=function()
    {
        if(xhr.readyState == 4 && xhr.status == 200) //if receive xhr response
        {
            var datas=xhr.responseText;
            alert(datas);
        }
    }
    //request vuln page
    xhr.open("GET","http://www.aufeng.com/feng.php","true") 
    xhr.send();
}
loadXMLDoc();
</script>
</html>

然后我们打开http://www.testcors.com/cors.html,html代码的意思是通XMLHttpRequest访问www.aufeng.com,然后将获取到的内容弹框出来。
但是根据同源策略,这是不允许的,如下图所示:
在这里插入图片描述
打开查看器也会有提示
在这里插入图片描述
那么我们怎么使用CORS使其可以跨域访问呢,接下来我们改一下feng.php:
添加header(“Access-Control-Allow-Origin:http://www.testcors.com”);
在这里插入图片描述
然后访问http://www.testcors.com/cors.html,发现aufeng.com的敏感信息弹出来了,实现了跨域资源的请求。
在这里插入图片描述

漏洞原因

由于配置不当,服务器并没有对Origin源进行一个严格的判断,从而造成跨域问题。
只要关注Origin即可。当我们把Origin设置为testcors.com时,返回包的Access-Control-Allow-Origin也为testcors.com,也就是testcors.com可以跨域获取aufeng.com的资源。从而产生了CORS配置不当的漏洞

  • 漏洞的请求包
GET /feng.php HTTP/1.1
Host: aufeng.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:46.0) Gecko/20100101 Firefox/46.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Content-Type: application/json
origin: http://testcors.com
  • 响应包
HTTP/1.1 304 Not Modified
Connection: close
ETag: "ba948d94315604d965963bffecb2582a"
Cache-Control: max-age=0, private, must-revalidate
Access-Control-Allow-Origin: http://testcors.com
Access-Control-Allow-Methods: GET, POST, PUT, OPTIONS, DELETE
Access-Control-Expose-Headers: 
Access-Control-Max-Age: 1728000
Access-Control-Allow-Credentials: true
Vary: Origin
Referrer-Policy: origin-when-cross-origin
X-Content-Type-Options: nosniff
X-Download-Options: noopen
X-Frame-Options: SAMEORIGIN
X-Permitted-Cross-Domain-Policies: none
X-XSS-Protection: 1; mode=block

Access-Control-Allow-Origin这个字段的意思是允许跨域访问的网站,他有可能是一个具体的值,如果是一个*号,那么表示接受任意域名的请求。

Access-Control-Allow-Credentials: true这个设置是请求包中是否携带cookie。

这里要注意的是,我们也可以测试下带有Access-Control-Allow-Origin: * 字段的网站是否有CORS漏洞,但是如果是如下组合,则没有漏洞,因为浏览器已经会阻止如下的配置。

Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials: true
修复建议

对于orgin域名进行严格限制,可信域名限制。
不要配置Origin:*和Credentials: true

高级利用:

https://www.freebuf.com/articles/web/204023.html

  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值