「 典型安全漏洞系列 」10.跨域资源共享CORS漏洞详解

跨域资源共享(Cross-origin Resource Sharing,CORS)是一种浏览器机制,可以对于给定域之外的资源进行受控访问。它扩展并增加了同源政策(Same-origin Policy,SOP)的灵活性。然而,如果网站的CORS策略配置和实施不当,它也可能引发跨域攻击。为了更好的理解CORS漏洞,在介绍CORS漏洞之前,我们先了解下什么是同源策略(SOP)。

在这里插入图片描述

1. 同源策略(SOP)

同源策略(Same-origin Policy,SOP)是浏览器的一种安全机制,旨在防止网站相互攻击。同源策略规定跨域之间的脚本是隔离的,一个域的脚本不能访问/操作另一个域的绝大部分属性和方法。

同源策略限制一个源上的脚本访问另一个源的数据。一个源包括一个URI协议、域名和端口号。例如,考虑以下URL:

http://normal-website.com/example/example.html

这使用 http 协议、域名 normal-website.com 和端口号 80 。下表显示了如果上述URL中的内容试图访问其他来源,将如何应用同源策略:

URL是否允许访问?
http://normal-website.com/example/是:相同的协议、域名和端口
http://normal-website.com/example2/是:相同的协议、域名和端口
https://normal-website.com/example/否:不同的协议和端口
http://en.normal-website.com/example/否:不同的域名
http://www.normal-website.com/example/否:不同的域名
http://normal-website.com:8080/example/否:不同端口*

2. 跨域资源共享CORS

2.1. CORS概念

跨域资源共享(Cross-origin Resource Sharing,CORS)是一种浏览器机制,可以对于给定域之外的资源进行受控访问。它扩展并增加了同源政策(Same-origin Policy,SOP)的灵活性。以下介绍了与CORS相关的HTTP请求头和响应头字段:

请求头说明
Origin表明预检请求或实际请求的源站URI,不管是否跨域,Origin字段总是会发送
Access-Control-Request-Method将实际请求所使用的HTTP方法告诉服务器
Access-Control-Request-Headers将实际请求所携带的头部字段告诉服务器
响应头说明
Access-Control-Allow-Origin指定允许访问该资源的外域URI,对于携带身份凭证的请求不要使用通配符
Access-Control-Expose-Headers指定XMLHttpRequest的getResponseHeader可以访问的响应头
Access-Control-Allow-Credentials是否允许浏览器读取response的内容;
当用在preflight预检请求的响应中时,指定实际的请求是否可使用credentials
Access-Control-Allow-Headers指明实际请求所允许使用的头部字段
Access-Control-Allow-Methods指明实际请求所允许使用的HTTP方法
Access-Control-Max-Age指明preflight请求的结果能够被缓存多久

Java实现举例:

response.setHeader('Access-Control-Allow-Origin','*')  //设置所有的请求地址都允许跨域
response.setHeader('Access-Control-Allow-Origin','http//127.0.0.1:5100')  //只有127.0.0.1:5100允许跨域
response.setHeader('Access-Control-Allow-Origin-Method','*') //设置所有的请求方法都允许跨域

2.2. CORS漏洞原理

如果网站的CORS策略配置和实施不当,它可引发跨域攻击。常见的CORS配置问题如下:

  • Origin校验错误
  • 信任null
  • HTTPS域信任HTTP域
  • 信任自身全部子域
  • Origin:*Credentials:true共用

3. 攻击步骤

  • 1)探索站点是否支持CORS头
  • 2)探索站点对Origin头的校验及绕过方法
  • 3)探索信任子域是否有XSS漏洞
  • 4)构造获取敏感信息的PoC

4. 漏洞防御

CORS漏洞主要是由于配置错误引起的。因此,预防是一个配置问题。以下介绍了针对CORS攻击的一些有效防御措施:

  • 正确配置跨域请求:如果web资源包含敏感信息,则应在 Access-Control-Allow-Origin` 标头中正确指定来源。
  • 不要将空值列入白名单:避免使用标头 Access-Control-Allow-Origin: null 。来自内部文档和沙盒请求的跨域资源调用可以指定 null 来源。对于私有服务器和公共服务器的可信来源,应该正确定义CORS头。
  • 仅允许受信任的站点Access-Control-Allow-Origin 标头中指定的来源应该仅是受信任的站点。
  • **避免在内部网络中使用通配符* **:当内部浏览器可以访问不受信任的外部域时,仅信任网络配置来保护内部资源是不够的。
  • CORS不能替代服务器安全策略:攻击者可以直接伪造来自任何可信来源的请求。因此,除了正确配置的CORS外,web服务器还应继续对敏感数据应用保护,如身份验证和会话管理。

推荐阅读:
「 典型安全漏洞系列 」09.权限提升漏洞详解
「 典型安全漏洞系列 」08.文件上传漏洞详解
「 典型安全漏洞系列 」07.OS命令注入详解
「 典型安全漏洞系列 」06.路径遍历(Path Traversal)详解
「 典型安全漏洞系列 」05.XML外部实体注入XXE详解
「 典型安全漏洞系列 」04.服务器端请求伪造SSRF详解
「 典型安全漏洞系列 」03.跨站请求伪造CSRF详解
「 典型安全漏洞系列 」02.SQL注入详解
「 典型安全漏洞系列 」01.跨站脚本攻击XSS详解

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/520107.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

知识融合与消歧:完善知识图谱的关键步骤

知识融合与消歧:完善知识图谱的关键步骤 一、引言:知识融合与消歧的重要性 在今天的数据驱动时代,知识图谱已成为组织和理解海量信息的关键技术。它们使得复杂的数据关系可视化,为人工智能提供了丰富的知识基础。然而&#xff0c…

Qt | 元对象系统

一、QByteArray 类简介 1、QByteArray 类简介  该类是一个用于处理字符串的类似于 C++的 string 类型的类,在 Qt 中,对字符串的处理,经常使用的是 QString 类,该类保证字符串以\0结尾,并使用隐式共享(copy-on-write)来减少内存用量和不必要的数据复制。  QByteArra…

【智能算法】原子搜索算法(ASO)原理及实现

目录 1.背景2.算法原理2.1算法思想2.2算法过程 3.结果展示4.参考文献 1.背景 2019年,Zhao等人受到原子运动规律启发,提出了原子搜索算法(Atom Search Algorithm,ASO)。 2.算法原理 2.1算法思想 ASO根据分子动力学中…

Qt学习记录(C++)——Day 2

目录 一、作业 要求: 实现: 1.创建新的窗口类 2. 主窗口中实现 二、 窗口菜单设计 效果展示图 三、图片资源的导入 步骤: 举例: 四、 对话框 1.模拟对话框 2. 非模态对话框 3.错误对话框 4.信息对话框 5.提问对话…

【C++】缺省参数和函数重载

目录 1.缺省参数 1.1缺省参数的定义 1.2 缺省参数的简单应用 1.3 缺省参数分类:全缺省参数和半缺省参数 1.3.1半缺省参数 1.3.2全缺省参数 3.缺省参数注意事项:缺省参数不能在函数声明和定义中同时出现 4.函数重载 4.1 函数重载概念 4.2 函数参数类型…

matlab使用教程(35)—求解时滞微分方程(3)

1中立型 DDE 以下示例说明如何使用 ddensd 求解中立型 DDE(时滞微分方程),其中时滞出现在导数项中。此问题最初由 Paul [1] 提出。方程是: 由于该方程在 y ′ 项中存在时滞,因此该方程称为中立型 DDE。如果时滞仅出现…

基于SSM的基于个人需求和地域特色的外卖推荐系统(有报告)。Javaee项目。ssm项目。

演示视频: 基于SSM的基于个人需求和地域特色的外卖推荐系统(有报告)。Javaee项目。ssm项目。 项目介绍: 采用M(model)V(view)C(controller)三层体系结构&…

10 - 三态门和寄存器

1. 三态门 1.1 引入背景 现在我们需要封装一个单字节存储器。 Clear 清零,Pre 置 1,CP 的上升沿将输入 DI 数据写入。 问题:总线冲突。如果将多个存储器连到一起,就会出现一个输入连到多个输出发生数据冲突的问题。 需要三态门…

【单片机家电产品学习记录--红外线】

单片机家电产品学习记录–红外线 红外手势驱动电路,(手势控制的LED灯) 原理 通过红外线对管,IC搭建的电路,实现灯模式转换。 手势控制灯模式转换,详细说明 转载 1《三色调光LED台灯电路》&#xff0c…

计数排序解读

当我们提及排序算法时,通常会想到冒泡排序、选择排序、插入排序、归并排序和快速排序等经典算法。然而,今天我们要探讨的是一种非比较型整数排序算法——计数排序。计数排序在某些特定场景下表现出色,具有线性的时间复杂度。下面我们将深度剖…

SYS-2722音频分析仪SYS2722

181/2461/8938产品概述: Audio Precision 2722 音频分析仪是 Audio Precision 屡获殊荣的 PC 控制音频分析仪的旗舰型号,长期以来一直是音频设备设计和测试的全球公认标准。功能齐全的 SYS-2722 提供了测试转换器技术最新进展所需的无与伦比的失真和噪声…

NoSQL概述

NoSQL概述 目录 一、为什么用NoSQL 二、什么是NoSQL 三、经典应用分析 四、N o S Q L 数 据 模 型 简 介 五、NoSQL四大分类 六、CAP BASE 一、为什么用NoSQL 1、单机MySQL的美好年代 在90年代,一个网站的访问量一般不大,用单个数据库完全可以轻松应…

Linux离线安装python3(源码编译)

1、下载python包 下载python3.9.6的源码包 python下载 下载后,解压,目录如下: -rw-------. 1 root root 1454 Aug 26 2023 anaconda-ks.cfg -rw-r--r--. 1 root root 25640094 Apr 4 21:52 Python-3.9.6.tgz drwxrwxr…

搭建电商购物独立站抓取主流电商产品数据的方法:工具+电商数据采集API接口

分享一个抓取数据产品的方法,也是别人给我说的。 想做一个联盟产品相关的网站,然后需要采集电商网站的产品。咨询大佬告诉我,大量级电商商品数据的采集可以接入专业的电商数据采集API接口,也可以用webscrsper,于是乎就…

秒懂Springboot之如何使用logback做日志脱敏和截取

[版权申明] 非商业目的注明出处可自由转载 出自:shusheng007 文章目录 前言日志logback原理实现原理方案 技术总结总结源码 前言 日志的重要性无需多言,而数据的安全性亦不用赘述,但不幸的是它两常常产生矛盾。要便利就会牺牲安全&#xff0…

【MySQL】如何判断一个数据库是否出问题

在实际的应用中,其实大多数是主从结构。而采用主备,一般都需要一定的费用。 对于主备,如果主机故障,那么只需要直接将流量打到备机就可以,但是对于一主多从,还需要将从库连接到主库上。 对于切换的操作&a…

阿里云无影云电脑具体价格_4核8G和8核16G配置99元一年

2024年阿里云无影云电脑具体价格99元一年起,配置可选4核8G和8核16G,使用时长可选800小时和1800小时,目前有四款无影云电脑可以享受优惠价格,阿里云服务器网aliyunfuwuqi.com整理2024年无影云电脑详细配置和优惠价格表,…

ARMv8/Armv9架构中cacheable属性的介绍

快速链接: 【精选】ARMv8/ARMv9架构入门到精通-[目录] 👈👈👈 思考:在页表的Descriptors中的Lower attributes中的AttrIndx中指向的MAIR_EL1寄存器中有配置cacheable属性, 在TCR_EL1寄存器中有cacheable属性位ORGN0、IRGN0、ORGN1…

每日五道java面试题之ZooKeeper篇(三)

目录: 第一题. 会话管理第二题. 服务器角色第三题. Zookeeper 下 Server 工作状态第四题. 数据同步第五题. zookeeper 是如何保证事务的顺序一致性的? 第一题. 会话管理 分桶策略:将类似的会话放在同一区块中进行管理,以便于 Zoo…

C语言第四十弹---预处理(下)

✨个人主页: 熬夜学编程的小林 💗系列专栏: 【C语言详解】 【数据结构详解】 预处理 1、#和## 1.1 #运算符 1.2、##运算符 2、命名约定 3、#undef 4、命令行定义 5、条件编译 6、头文件的包含 6.1、头文件被包含的方式 6.1.1、本地…