CORS
(Cross-OriginResource Sharing,跨源资源共享)
其思想是使用自定义的HTTP头部让浏览器与服务器进行沟通。因为开发者需要进行跨域进行获取资源,应用场景,在a.com,想获取b.com中的数据,常用的2种方法进行跨域一种为JSONP,一种为CORS.还有html标签也能跨域,有以下几种img, iframe,ink, script等。
简单流程
假设用户登陆一个含有CORS配置网站A,同时又访问了攻击者提供的一个链接B。B的网站向A这个网站发起请求获取敏感数据,浏览器能否接收信息取决于A的配置。
如果A配置了Access-Control-Allow-Origin头且为预期,那么允许接收,否则浏览器会因为同源策略而不接收。
流程图如下:
(假设A网站为aufeng.com, B网站为testcors.com)
- aufeng.com端
其中www.aufeng.com新建一个feng.php,内容为
<?php
echo "username: admin; password:123456";
?>
那么访问http://www.aufeng.com/feng.php就会如下图所示
- 在testcors.com端进行如下配置
<!DOCTYPE>
<html>
<h1>Hello ,cors test. </h1>
<script type="text/javascript">
function loadXMLDoc()
{
var xhr = new XMLHttpRequest();
xhr.onreadystatechange=function()
{
if(xhr.readyState == 4 && xhr.status == 200) //if receive xhr response
{
var datas=xhr.responseText;
alert(datas);
}
}
//request vuln page
xhr.open("GET","http://www.aufeng.com/feng.php","true")
xhr.send();
}
loadXMLDoc();
</script>
</html>
然后我们打开http://www.testcors.com/cors.html,html代码的意思是通XMLHttpRequest访问www.aufeng.com,然后将获取到的内容弹框出来。
但是根据同源策略,这是不允许的,如下图所示:
打开查看器也会有提示
那么我们怎么使用CORS使其可以跨域访问呢,接下来我们改一下feng.php:
添加header(“Access-Control-Allow-Origin:http://www.testcors.com”);
然后访问http://www.testcors.com/cors.html,发现aufeng.com的敏感信息弹出来了,实现了跨域资源的请求。
漏洞原因
由于配置不当,服务器并没有对Origin源进行一个严格的判断,从而造成跨域问题。
只要关注Origin即可。当我们把Origin设置为testcors.com时,返回包的Access-Control-Allow-Origin也为testcors.com,也就是testcors.com可以跨域获取aufeng.com的资源。从而产生了CORS配置不当的漏洞
- 漏洞的请求包
GET /feng.php HTTP/1.1
Host: aufeng.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:46.0) Gecko/20100101 Firefox/46.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Content-Type: application/json
origin: http://testcors.com
- 响应包
HTTP/1.1 304 Not Modified
Connection: close
ETag: "ba948d94315604d965963bffecb2582a"
Cache-Control: max-age=0, private, must-revalidate
Access-Control-Allow-Origin: http://testcors.com
Access-Control-Allow-Methods: GET, POST, PUT, OPTIONS, DELETE
Access-Control-Expose-Headers:
Access-Control-Max-Age: 1728000
Access-Control-Allow-Credentials: true
Vary: Origin
Referrer-Policy: origin-when-cross-origin
X-Content-Type-Options: nosniff
X-Download-Options: noopen
X-Frame-Options: SAMEORIGIN
X-Permitted-Cross-Domain-Policies: none
X-XSS-Protection: 1; mode=block
Access-Control-Allow-Origin这个字段的意思是允许跨域访问的网站,他有可能是一个具体的值,如果是一个*号,那么表示接受任意域名的请求。
Access-Control-Allow-Credentials: true这个设置是请求包中是否携带cookie。
这里要注意的是,我们也可以测试下带有Access-Control-Allow-Origin: * 字段的网站是否有CORS漏洞,但是如果是如下组合,则没有漏洞,因为浏览器已经会阻止如下的配置。
Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials: true
修复建议
对于orgin域名进行严格限制,可信域名限制。
不要配置Origin:*和Credentials: true