Web漏洞之CORS与JSONP跨域漏洞

在了解跨域漏洞之前我们需要了解一下什么是同源策略。

同源策略

同源策略是浏览器最核心也最基本的安全功能，不同的客户端脚本在没有明确的情况下，不能读取对方的Dom、cookie、session、ajax等操作的权限资源。

同源策略是浏览器得行为，是为了保护本地数据不被JavaScript代码获取回来的数据污染，因此拦截得是客户的请求回来的数据接收，即请求发送了，服务器响应了，但是无法被浏览器接收

如果没有同源策略，那么，你打开了一个合法网站，又打开了一个恶意网站。恶意网站的脚本能够随意的操作合法网站的任何可操作资源，没有任何限制。
同源3个条件：协议、域名、端口相同

为什么要跨域

随着互联网的发展，同源策略越来越严格，目前，对于非同源的网站共有三种行为受到限制。
（1）Cookie、LocalStorage和IndexDB无法获取。
（2）DOM无法获得。
（3）Ajax请求不能发送。
虽然这些限制是必要的，但是有时很不方便，合理的用途也会受到影响，因此需要跨域。
有三个标签可以允许跨域加载资源：、、

CORS

什么是CORS跨域？CORS,即跨域资源共享，它是一种机制，WEB应用程序可以通过在HTTP中增加字段来告诉浏览器，哪些不同来源的服务器是有权访问本站资源的，当不同域的请求发生时，就出现了跨域的现象。

CORS规范规定了在Web服务器和浏览器之间交换的标头内容，该标头内容限制了源域之外的域请求web资源。CORS规范标识了协议头中以下字段。当网站请求跨域资源时，服务器将返回此标头，并由浏览器添加标头Origin。
主要有下面三个字段：

Access-Control-Allow-Origin：* a.com 指定哪些域可以访问域资源。例如，如果a.com想要访问b.com的资源，那么开发人员可以使用此标头安全地授予a.com对b.com资源的访问权限。

Access-Control-Allow-Credentials：true 指定浏览器是否将使用请求发送cookie。仅当allow-credentials标头设置为true时，才会发送Cookie。

Access-Control-Allow-Methods:*  指定可以使用哪些HTTP请求方法（GET，PUT，DELETE等）来访问资源。此标头允许开发人员通过在requester.com请求访问provider.com的资源时，指定哪些方法有效来进一步增强安全性

跨域的场景

1. 比如后端开发完一部分业务代码后，提供接口给前端用，在前后端分离的模式下，前后端的域名是不一致的，此时就会发生跨域访问的问题。
2. 程序员在本地做开发，本地的文件夹并不是在一个域下面，当一个文件需要发送ajax请求，请求另外一个页面的内容的时候，就会跨域。
3. 子站域名希望调用主站域名的用户资料接口，并将数据显示出来。
4. 电商网站想通过用户浏览器加载第三方快递网站的物流信息。

CORS跨域漏洞是怎么发生的

1. 假设用户登陆一个含有CORS配置网站vuln.com，同时又访问了攻击者提供的一个链接evil.com。
2. evil.com的网站向vuln.com这个网站发起请求获取敏感数据，浏览器能否接收信息取决于vuln.com的配置。
3. 如果vuln.com配置了Access-Control-Allow-Origin头且为预期，那么允许接收，否则浏览器会因为同源策略而不接收。

案例演示（一）

A:192.168.100.5
B:192.168.100.11 

（A）192.168.100.5 ajax.html 文件内容
（B）192.168.100.11 hello.php 中内容

1. 在A(100.5) 点击确定后（页面发生变化）,初始为hello,world 点击后如图所示。
   

2. 这就将不同源网站上的数据给访问下来了。

流程概述
正常用户登陆后查看个人信息，这个接口是调用个人信息得，如果这个接口存在了cors跨域漏洞 那么我们是不是可以构造语句，将恶意得网站源码发布到公网 发送给正常用户，当用户点击的时候就会执行这个跨域请求从而获取敏感信息。

正常业务流程

1. 如果在hello文件中设置Access-Control-Allow-Origin不为* 那么就指定了，从该域下请求hello文件是允许的，其余会被拦截。

2. 我们点击确定 发现浏览器拦截掉了。

例如

一个身份信息展示接口，每个用户访问该接口会将其信息展示到页面上，如果该接口将Access-Control-Allow-Origin 设置为 * (那么在不同源下就可以请求到该接口获取对方身份信息)。

案例二（将获取数据发送到DNS解析平台）

A服务器上CORS_POC.html文件
B服务器上userinfo.php文件

1. 当正常用户访问恶意用户构造的链接时（跨域访问，参数传到了img src地址中进行携带参数请求）

2. 看CEYE.IO 发现数据被携带请求。

3. 从而在DNS平台获取100.11中数据

JSONP漏洞

JSONP是JSON的一种使用模式，可以让网页从别的域名获取资料，即跨域读取数据，它利用的是script标签的src属性不受同源策略的特性，jsonp劫持就是攻击者获取了本应该传给网站其他接口的数据

原理：JSONP实现跨域请求的原理简单的说，就是动态创建<script>标签，然后利用<script>的src 不受同源策略约束来跨域获取数据。

JSONP漏洞的利用过程及危害

通过JSONP技术可以实现数据的跨域访问，必然会产生安全问题，如果网站B对网站A的JSONP请求没有进行安全检查直接返回数据，则网站B便存在JSONP漏洞，网站A利用JSONP漏洞能够获取用户在网站B上的数据。

漏洞攻击流程（一）

A(100.5)就相当于攻击者。服务端新建 jsonp.html

<html>
<head>
<title>test</title>
<meta charset="utf-8">
<script type="text/javascript">
function JSONP(obj){
    alert('user: '+obj["username"]+' pwd: '+obj["password"]);
}
</script>
</head>
<body>
<script type="text/javascript" src="http://192.168.100.11/callback.php?callback=JSONP"></script>
</body>
</html>

B（100.11）正常用户服务端，新建callback.php文件

<!-- 192.168.100.11/callback.php -->
<?php
    header('Content-type: application/json');
    $callback = $_GET["callback"];
    //json数据
    $json_data = '{"username":"admin","password":"admin888"}';
    //输出jsonp格式的数据
    echo $callback . "(" . $json_data . ")";
?>

开始

1. 我们访问jsonp.html，页面会执行script，请求http://192.168.100.11/callback.php?callback=JSONP，然后将请求的内容作为参数，执行JSONP函数，JSONP函数将请求的内容alert出来。最终的结果如下：
   这样我们就实现了通过js操作跨域请求到的资源，绕过了同源策略。
   但是伴随着业务的发展总会出现安全问题，JSONP使用不当也会造成很多安全问题。

JSON漏洞危害

JSONP是一种敏感信息泄露的漏洞，攻击者通过巧妙设计一个网站，网站中包含其他网站的JSONP漏洞利用代码，将链接通过邮件等形式推送给受害人，如果受害者点击了链接，则攻击者便可以获取受害者的个人的信息，如邮箱、姓名、手机等信息。

其他文章

（微信公众号搜索）