🔏
Web-Security
  • 目录
  • 基础知识
    • 什么是堡垒机?为什么需要堡垒机?
    • Web安全常见漏洞修复建议
    • Cookie、Session、Token、JWT
    • X-Frame-Options HTTP 响应头
    • Cookie 属性
    • Java Web开发 .action 和 .do的 区别
    • php使用mysql预处理语句防止sql注入 简单讲解及代码实现
  • Web 渗透笔记
    • 信息收集
      • 指纹信息
      • 域名信息
      • 目录信息
      • 端口信息
      • 信息泄露
      • 旁站C段
      • Waf 信息
      • 社工信息
    • 漏洞扫描
  • XSS 漏洞
    • XSS 漏洞 -- 反射型
    • XSS 漏洞 -- 存储型
    • XSS 漏洞 -- 存储型
  • XXE 漏洞
  • CSRF 漏洞
  • SQL注入漏洞
  • 文件上传漏洞
  • 命令执行漏洞
    • Untitled
  • 代码执行漏洞
  • 文件读取漏洞
    • 技术相关
      • 文件读取漏洞的攻防
    • 漏洞实例
      • 图片读取处任意文件读取
      • URL后面加 .jsp::%24DATA 读源码
  • 文件包含漏洞
  • 未授权访问漏洞
  • 通过框架钓鱼漏洞
  • 业务逻辑漏洞
    • 身份认证安全
    • 业务一致性安全
    • 业务数据篡改
    • 用户输入合规性
    • 密码找回漏洞
    • 验证码突破
    • 业务授权安全
    • 业务流程乱序
    • 业务接口调用
      • 短信炸弹漏洞
    • 时效绕过测试
  • 敏感信息泄露
    • phpinfo 信息泄露
    • WEB-INF/web.xml 泄露
    • Apache server-status 信息泄露
    • 内网IP地址泄露
    • 源码泄露
      • 网站源码泄露
      • git 源码泄露
      • SVN 源码泄露
      • hg 源码泄漏
      • DS_Store文件泄漏
    • MessageSolution 邮件归档系统EEA 信息泄露漏洞
    • GitLab Graphql邮箱信息泄露漏洞 CNVD-2021-14193
  • 应用配置错误
    • Untitled
    • 管理员后台泄露
    • SnoopServlet 信息泄露
    • WordPress xmlrpc.php 存在SSRF漏洞
    • 登录页面泄露
    • PHP FastCGI 解析漏洞
    • PHP register_globals 启用
    • 帮助文件泄露
    • IIS 短文件漏洞
    • DNS 域传送漏洞
    • 目录浏览
    • rsync 匿名访问
    • .Net 错误信息泄露
    • FTP 匿名访问
    • 网站安装目录泄露
    • Apache server-status 信息泄露
    • Host 头攻击漏洞
    • Cookie 属性问题
    • 服务器开启option方式
    • TRACE方法未禁用
    • 未加密的__VIEWSTATE参数
    • 不安全的http方法未禁用
    • Phpmyadmin setup 页面配置不当
    • 开启 ASP.NET 调试功能
    • web.config 配置文件泄露
    • 目标页面.Net 错误信息泄露
    • robots.txt 文件泄漏
    • Flash 跨域访问
    • jsonp 跨域请求
    • CORS 漏洞
    • xmlrpc.php 暴力破解密码
    • PHP FastCGI 解析漏洞
    • Kindeditor 编译器目录遍历
    • 支持不安全的TLSv1.0协议
    • SSL 3.0 POODLE攻击信息泄露漏洞
  • 编辑器漏洞
    • kindeditor<=4.1.5 文件上传漏洞利用
  • 解析漏洞
    • IIS 解析漏洞
    • PHP FastCGI 解析漏洞
  • 中间件漏洞
    • IIS 漏洞集合
  • 框架组件漏洞
    • Atlassian Jira
    • Lanproxy
  • 2021 年护网漏洞
    • ⽤友ERP-NC ⽬录遍历漏洞
    • 2021HW期间公布的部分漏洞及利用方式(部分附POC、EXP)
Powered by GitBook
On this page
  • 漏洞简述
  • 漏洞利用
  • 漏洞修复

Was this helpful?

  1. 应用配置错误

CORS 漏洞

漏洞简述

跨域资源共享(CORS)是一种放宽同源策略的机制,以使不同的网站可以跨域获取数据。CORS非常有用,可以共享许多内容,不过这里存在风险。因为它完全是一个盲目的协议,只是通过HTTP头来控制的。如果Access-Control-Allow-Origin可控,且Access-Control-Allow-Credentials为true, 那么就可以利用一个可控的网站来窃取一个人的个人隐私信息、敏感信息,请求用户主页等。

CORS的跨域获取资源过程:

CORS定义了两种跨域请求:简单跨域请求 和 非简单跨域请求。简单跨域请求就是使用设定的请求方式请求数据,而非简单跨域请求则是在使用设定的请求方式请求数据之前,先发送一个OPTIONS预检请求,看服务端是否允许客户端发送非简单请求。只有"预检"通过后才会再发送一次请求用于数据传输。

当我们需要发送一个跨域请求的时候,浏览器会首先检查这个请求,如果它是简单跨域请求,浏览器就会立刻发送这个请求。如果它是非简单跨域请求,这时候浏览器不会马上发送这个请求,而是有一个跟服务器预检验证的过程。

简单跨域请求

当一个跨域请求发送简单跨域请求时包括:

  • 请求方法为HEAD、GET、POST;

  • 请求头只有4个字段,Accept、Accept-Language、Content-Language、Last-Event-ID。如果请求头还设置了Content-Type,则其值只能是 application/x-www-form-urlencoded,multipart/form-data,text/plain。

只有同时满足以上两个条件时,才是简单请求,否则为非简单请求。

在简单请求中,浏览器进行跨域请求,会在请求中携带Origin,表面这是一个跨域。服务端会在接收中,通过自己的跨域规则进行验证。通过Access-Control-Allow-Origin和Access-Control-Allow-Methods ,如果验证成功,则会返回资源内容,如果验证失败,则返回403状态。

非简单跨域请求

下面简单分析一下非简单跨域请求的过程。浏览器先发送一个OPTIONS方法的预检请求。带有如下字段:

  • Origin: 普通的HTTP请求也会带有,在CORS中专门作为Origin信息供后端比对,表明来源域。

  • Access-Control-Request-Method: 接下来请求的方法,例如PUT、DELETE等等

  • Access-Control-Request-Headers: 自定义的头部,所有用setRequestHeader方法设置的头部都将会以逗号隔开的形式包含在这个头中

然后如果服务器配置了CORS,会返回对应对的字段,具体字段含义在返回结果是一并解释。

  • Access-Control-Allow-Origin: 允许进行跨域请求的域名

  • Access-Control-Allow-Methods: 允许进行跨域请求的方式

  • Access-Control-Allow-Headers: 允许进行跨区请求的头部

然后浏览器再根据服务器的返回值判断是否发送非简单请求。然后服务器处理完请求之后,会再返回结果中加上如下控制字段:

  • Access-Control-Allow-Origin: 允许跨域访问的域,可以是一个域的列表,也可以是通配符"*"。这里要注意Origin规则只对域名有效,并不会对子目录有效。即http://foo.example/subdir/ 是无效的。但是不同子域名需要分开设置,这里的规则可以参照同源策略

  • Access-Control-Allow-Credentials: 是否允许请求带有验证信息

  • Access-Control-Expose-Headers: 允许脚本访问的返回头,请求成功后,脚本可以在XMLHttpRequest中访问这些头的信息

  • Access-Control-Max-Age: 缓存此次请求的秒数。在这个时间范围内,所有同类型的请求都将不再发送预检请求而是直接使用此次返回的头作为判断依据,非常有用,大幅优化请求次数

  • Access-Control-Allow-Methods: 允许使用的请求方法,以逗号隔开

  • Access-Control-Allow-Headers: 允许自定义的头部,以逗号隔开,大小写不敏感

然后浏览器通过返回结果的这些控制字段来决定是将结果开放给客户端脚本读取还是屏蔽掉。如果服务器没有配置CORS,返回结果没有控制字段,浏览器会屏蔽脚本对返回信息的读取。

所以,网站可以通过发送以下HTTP响应头部来启用CORS:

Access-Control-Allow-Origin: https://example.com

这样的话,就可以允许指定的源(http://example.com)来跨域请求服务器端的资源,并且服务器会响应。在默认情况下,发送跨域请求时不会携带cookie或其他凭据。因此,它不能用于窃取与用户相关的敏感信息(如CSRF令牌)。不过,网站服务器可以使用以下头部来启用凭据传输:

Access-Control-Allow-Credentials:true

这样浏览器在请求数据的时候就需要带上cookie,服务器在回应的时候也会返回Cookie等一些信息进行双向认证。

实现对单个域的信任是非常容易的事情。不过,如果需要信任多个域的话,那该怎么办呢?根据相关规范的建议,只需列出相关的域,并用空格加以分隔即可,例如:

Access-Control-Allow-Origin:http://a.example.com http://example.com

但是,没有哪个浏览器真正支持这一特性。

于是,我们可以通过使用通配符来信任所有子域,具体方法是:

Access-Control-Allow-Origin: *.example.com

可是有一些偷懒的程序员,将Access-Control-Allow-Origin设置为允许来自所有域*的跨域请求。

Access-Control-Allow-Origin:*

这样,所有的网站都可以对其进行跨域资源请求了,这是非常危险的。不过先别高兴的太早。其实这里在设计的时候有一个很好的限制。xmlhttprequest发送的请求需要使用“withCredentials”来带上cookie,如果一个目标域设置成了允许任意域的跨域请求,这个请求又带着cookie的话,这个请求是不合法的。(就是如果需要实现带cookie的跨域请求,需要明确的配置允许来源的域,使用任意域的配置是不合法的)浏览器会屏蔽掉返回的结果。javascript就没法获取返回的数据了。这是CORS模型最后一道防线。假如没有这个限制的话,那么javascript就可以获取返回数据中的Cookie和CSRF Token,以及各种敏感数据。这个限制极大的降低了cors的风险。

如下,这是不允许的:

  • Access-Control-Allow-Origin: *

  • Access-Control-Allow-Credentials: true

这时,将在浏览器控制台中收到以下错误消息:当凭证标志为true时,无法在Access-Control-Allow-Origin中使用通配符。

漏洞利用

漏洞修复

1、正确配置跨域请求
如果Web资源包含敏感信息,则应在Access-Control-Allow-Origin标头中正确指定来源。

2、只允许信任的网站
看起来似乎很明显,但是Access-Control-Allow-Origin标头中指定的来源只能是受信任的站点。特别是,无需验证就可以动态反映跨域请求的来源而无需验证,因此应避免使用。

3、避免将null列入白名单
避免使用标题Access-Control-Allow-Origin: null。来自内部文档和沙盒请求的跨域资源调用可以指定null来源。应针对私有和公共服务器的可信来源正确定义CORS标头。

4、避免在内部网络中使用通配符
避免在内部网络中使用通配符。当内部浏览器可以访问不受信任的外部域时,仅靠信任网络配置来保护内部资源是不够的。

5、CORS不能替代服务器端安全策略
CORS定义了浏览器的行为,绝不能替代服务器端对敏感数据的保护-攻击者可以直接从任何可信来源伪造请求。因此,除了正确配置的CORS之外,Web服务器还应继续对敏感数据应用保护,例如身份验证和会话管理。
Previousjsonp 跨域请求Nextxmlrpc.php 暴力破解密码

Last updated 4 years ago

Was this helpful?

CORS(跨域资源共享)错误配置漏洞的高级利用:

参考链接:

https://www.freebuf.com/articles/web/204023.html
https://blog.csdn.net/qq_43571759/article/details/105838128