跨域资源共享(Cross-origin Resource Sharing,CORS)是一种浏览器机制,可以对于给定域之外的资源进行受控访问。它扩展并增加了同源政策(Same-origin Policy,SOP)的灵活性。然而,如果网站的CORS策略配置和实施不当,它也可能引发跨域攻击。为了更好的理解CORS漏洞,在介绍CORS漏洞之前,我们先了解下什么是同源策略(SOP)。
1. 同源策略(SOP)
同源策略(Same-origin Policy,SOP)是浏览器的一种安全机制,旨在防止网站相互攻击。同源策略规定跨域之间的脚本是隔离的,一个域的脚本不能访问/操作另一个域的绝大部分属性和方法。
同源策略限制一个源上的脚本访问另一个源的数据。一个源包括一个URI协议、域名和端口号。例如,考虑以下URL:
http://normal-website.com/example/example.html
这使用 http 协议、域名 normal-website.com 和端口号 80 。下表显示了如果上述URL中的内容试图访问其他来源,将如何应用同源策略:
| URL | 是否允许访问? |
|---|---|
| http://normal-website.com/example/ | 是:相同的协议、域名和端口 |
| http://normal-website.com/example2/ | 是:相同的协议、域名和端口 |
| https://normal-website.com/example/ | 否:不同的协议和端口 |
| http://en.normal-website.com/example/ | 否:不同的域名 |
| http://www.normal-website.com/example/ | 否:不同的域名 |
| http://normal-website.com:8080/example/ | 否:不同端口* |
2. 跨域资源共享CORS
2.1. CORS概念
跨域资源共享(Cross-origin Resource Sharing,CORS)是一种浏览器机制,可以对于给定域之外的资源进行受控访问。它扩展并增加了同源政策(Same-origin Policy,SOP)的灵活性。以下介绍了与CORS相关的HTTP请求头和响应头字段:
| 请求头 | 说明 |
|---|---|
| Origin | 表明预检请求或实际请求的源站URI,不管是否跨域,Origin字段总是会发送 |
| Access-Control-Request-Method | 将实际请求所使用的HTTP方法告诉服务器 |
| Access-Control-Request-Headers | 将实际请求所携带的头部字段告诉服务器 |
| 响应头 | 说明 |
|---|---|
| Access-Control-Allow-Origin | 指定允许访问该资源的外域URI,对于携带身份凭证的请求不要使用通配符 |
| Access-Control-Expose-Headers | 指定XMLHttpRequest的getResponseHeader可以访问的响应头 |
| Access-Control-Allow-Credentials | 是否允许浏览器读取response的内容; 当用在preflight预检请求的响应中时,指定实际的请求是否可使用credentials |
| Access-Control-Allow-Headers | 指明实际请求所允许使用的头部字段 |
| Access-Control-Allow-Methods | 指明实际请求所允许使用的HTTP方法 |
| Access-Control-Max-Age | 指明preflight请求的结果能够被缓存多久 |
Java实现举例:
response.setHeader('Access-Control-Allow-Origin','*') //设置所有的请求地址都允许跨域
response.setHeader('Access-Control-Allow-Origin','http//127.0.0.1:5100') //只有127.0.0.1:5100允许跨域
response.setHeader('Access-Control-Allow-Origin-Method','*') //设置所有的请求方法都允许跨域
2.2. CORS漏洞原理
如果网站的CORS策略配置和实施不当,它可引发跨域攻击。常见的CORS配置问题如下:
- Origin校验错误
- 信任
null - HTTPS域信任HTTP域
- 信任自身全部子域
Origin:*与Credentials:true共用
3. 攻击步骤
- 1)探索站点是否支持CORS头
- 2)探索站点对Origin头的校验及绕过方法
- 3)探索信任子域是否有XSS漏洞
- 4)构造获取敏感信息的PoC
4. 漏洞防御
CORS漏洞主要是由于配置错误引起的。因此,预防是一个配置问题。以下介绍了针对CORS攻击的一些有效防御措施:
- 正确配置跨域请求:如果web资源包含敏感信息,则应在 Access-Control-Allow-Origin` 标头中正确指定来源。
- 不要将空值列入白名单:避免使用标头
Access-Control-Allow-Origin: null。来自内部文档和沙盒请求的跨域资源调用可以指定 null 来源。对于私有服务器和公共服务器的可信来源,应该正确定义CORS头。 - 仅允许受信任的站点:
Access-Control-Allow-Origin标头中指定的来源应该仅是受信任的站点。 - **避免在内部网络中使用通配符
***:当内部浏览器可以访问不受信任的外部域时,仅信任网络配置来保护内部资源是不够的。 - CORS不能替代服务器安全策略:攻击者可以直接伪造来自任何可信来源的请求。因此,除了正确配置的CORS外,web服务器还应继续对敏感数据应用保护,如身份验证和会话管理。
推荐阅读:
「 典型安全漏洞系列 」09.权限提升漏洞详解
「 典型安全漏洞系列 」08.文件上传漏洞详解
「 典型安全漏洞系列 」07.OS命令注入详解
「 典型安全漏洞系列 」06.路径遍历(Path Traversal)详解
「 典型安全漏洞系列 」05.XML外部实体注入XXE详解
「 典型安全漏洞系列 」04.服务器端请求伪造SSRF详解
「 典型安全漏洞系列 」03.跨站请求伪造CSRF详解
「 典型安全漏洞系列 」02.SQL注入详解
「 典型安全漏洞系列 」01.跨站脚本攻击XSS详解
