漏洞系列之——CORS配置错误

最新推荐文章于 2025-10-27 13:26:10 发布
原创 最新推荐文章于 2025-10-27 13:26:10 发布 · 1.5w 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #https #web crawler

本文探讨了CORS配置错误导致的安全隐患,重点介绍了允许任意来源请求、未授权凭据暴露及通配符来源等问题,以及如何通过精确设置Access-Control-Allow-Origin和Credentials来防止这类攻击。漏洞修复建议提供了一套最佳实践方法。

CORS配置错误

漏洞描述

CORS 错误配置。允许攻击者代表用户发出跨源请求,因为应用程序没有将 Origin 标头列入白名单并且具有 Access-Control-Allow-Credentials: true 意味着我们可以使用受害者的凭据从攻击者的站点发出请求。

漏洞等级

高危

漏洞危害

那么,CORS的漏洞到底出现在哪里呢?

1:CORS服务端的 Access-Control-Allow-Origin 设置为了 *,并且 Access-Control-Allow-Credentials 设置为false,这样任何网站都可以获取该服务端的任何数据了。

2:有一些网站的Access-Control-Allow-Origin他的设置并不是固定的,而是根据用户跨域请求数据的Origin来定的。这时,不管Access-Control-Allow-Credentials 设置为了 true 还是 false。任何网站都可以发起请求,并读取对这些请求的响应。意思就是任何一个网站都可以发送跨域请求来获得CORS服务端上的数据。

(1)Access-Control-Allow-Origin

该字段是必须的。它的值要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求。

(2)Access-Control-Allow-Credentials

该字段可选。它的值是一个布尔值,表示是否允许发送Cookie。默认情况下,Cookie不包括在CORS请求之中。设为true,即表示服务器明确许可,Cookie可以包含在请求中,一起发给服务器。这个值也只能设为true,如果服务器不要浏览器发送Cookie,删除该字段即可。

(3)Access-Control-Expose-Headers

该字段可选。CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定。上面的例子指定,getResponseHeader('FooBar')可以返回FooBar字段的值。

Origin: https://evil.com
Access-Control-Allow-Credential: true
Access-Control-Allow-Origin: https://evil.com 或者 Access-Control-Allow-Origin: null

Access-Control-Allow-Origin:   允许进行跨域请求的域名
Access-Control-Allow-Methods:  允许进行跨域请求的方式
Access-Control-Allow-Headers:  允许进行跨区请求的头部

易受攻击的示例:

Null Origin

服务器可能没有反映完整的Origin标头,但null允许来源。这在服务器的响应中看起来像这样:

GET /endpoint HTTP/1.1
Host: victim.example.com
Origin: null
Cookie: sessionid=... 

HTTP/1.1 200 OK
Access-Control-Allow-Origin: null
Access-Control-Allow-Credentials: true
没有凭据的通配符来源

如果服务器以通配符来源响应*,则浏览器永远不会发送 cookie。但是,如果服务器不需要身份验证,仍然可以访问服务器上的数据。这可能发生在无法从 Internet 访问的内部服务器上。然后,攻击者的网站可以转入内部网络,无需身份验证即可访问服务器的数据。

 *是唯一的通配符来源
https: //*.example.com无效

GET / endpoint HTTP / 1.1 
Host: api.internal.example.com 
Origin: https: // evil.com
 
HTTP / 1.1  200 OK 
Access - Control - Allow - Origin: *
扩展源/正则表达式问题

有时,原始来源的某些扩展不会在服务器端过滤。这可能是由于使用错误实现的正则表达式来验证原始标头造成的。

在这种情况下,任何插入在前面的前缀都example.com将被服务器接受。

GET /endpoint HTTP/1.1
Host: api.example.com
Origin: https://evilexample.com

HTTP/1.1 200 OK
Access-Control-Allow-Origin: https://evilexample.com
Access-Control-Allow-Credentials: true

漏洞修复方案

(最理想的)
Access-Control-Allow-Origin: https://attacker.com
Access-Control-Allow-Credentials: true
同源策略——CORS和JSONP劫持漏洞
m0_61506558的博客
11-03 966
同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。如果两个URL拥有相同的协议(http、https)、端口和主机,那么这两个URL就是同源的。JSONP(JSON with Padding) 是 json 的一种”使用模式”,可以让网页从别的域名(网站)那获取资料,即跨域读取数据。JSONP实现跨域请求的原理简单的说,就是动态创建标签,然后利用的 src不受。
漏洞挖掘】——144、 逻辑漏洞之OAuth 2.0认证缺陷刨析(下)
Fly_鹏程万里
07-29 222
OpenID Connect扩展了OAuth协议并提供了一个位于基本OAuth实现之上的专用身份和身份验证层,它添加了一些简单的功能,可以更好地支持OAuth的身份验证用例。OAuth最初的设计并没有考虑到身份验证,它旨在成为在应用程序之间为特定资源委派授权的一种方式,然而许多网站开始自定义OAuth以用作身份验证机制,为了实现这一点他们通常请求对一些基本用户数据的读取访问权限,如果他们被授予此访问权限,则假设用户在OAuth提供程序方面对自己进行了身份验证。
跨域请求携带cookie需配置Access-Control-Allow-Credentialstrue
yihanzhi的博客
12-12 1万+
当跨域请求需要携带cookie是,请求头中需要设置Access-Control-Allow-Credentials:trueAccess-Control-Allow-Credentials值为true时,Access-Control-Allow-Origin必须有明确的值,不能是通配符(*) ...
Access-Control-Allow-Origin 详解
最新发布
SUNGUOGUO1的博客
10-27 517
是HTTP响应头中的一个字段,用于。→ 这会导致安全漏洞
CORS配置错误带来的安全问题及利用手法
一个安全研究员
08-24 3314
最近一直在挖CORS配置错误这个问题,但是还没找到像样的案例,就先归纳一下这个漏洞,顺便记录一下学到的新姿势,希望对大家有所帮助 在阅读本文之前,你应该已经知道什么是CORS了,以及CORS配置错误会带来的安全问题,当然不懂也没关系,我用几句话简单给大家描述下这个问题。 CORS基础 CORS的全称是跨域资源访问,我们都知道同源策略(SOP)限制了我们的浏览器跨域读取资源,但是我们在设计开发一些网站的时候,本来就需要跨域读取数据,但是因为有同源策略的存在,我们要跨域就太麻烦了,所以cors应运而生,这个策.
不安全CORS配置
qq_43893277的博客
05-09 1125
识别CORS策略:使用浏览器的开发者工具检查目标网站的响应头,看是否有Access-Control-Allow-Origin字段。测试Origin头部:使用工具如curl或者浏览器扩展(如Chrome的CORS插件),修改请求的Origin头部,模拟不同源的请求,检查响应头中是否包含Access-Control-Allow-Origin,确认其值是否过于宽松。
CORS错误
qq_36048987的博客
01-10 826
cors 错误
第三方软件测试:手动挖掘CORS配置错误漏洞
卓码软件测评的博客
09-23 1138
【摘要】CORS机制错误配置可导致严重安全漏洞。本文介绍了CORS测试方法:1)理解同源策略与CORS关系;2)识别常见配置错误(如Origin反射、通配符滥用等);3)利用Chrome开发者工具分析跨域请求,通过修改请求头测试漏洞;4)重点关注Origin反射、通配符凭据误用、null Origin等风险场景。测试人员可通过网络分析、请求重放等技术手动检测CORS配置缺陷。
CORS 报错】跨域请求问题:CORS 多种环境下的解决方案
Allen-
07-11 1万+
CORS问题是前端开发中常见的一个挑战,但通过合理的代理配置和服务器设置可以有效解决。在不同环境下,可以使用Vite的代理功能、设置请求头、JSONP、服务器端代理、Nginx代理等多种方式来解决跨域问题。
常见的Web漏洞——CORS
江左盟的博客
06-05 3268
渗透做了多年的朋友都知道,大洞小洞都是漏洞。因此也学习、沉淀一下以前没重视的漏洞CORS漏洞原理、检测和利用方法。
漏洞挖掘】——24、XXE漏洞挖掘刨析(下)
Fly_鹏程万里
03-05 767
从服务器文件系统中检索任意文件的XXE注入攻击需要以两种方式修改提交的XML引入DOCTYPE元素,该元素定义包含文件路径的外部实体编辑应用程序响应中返回的XML中的数据值以利用已定义的外部实体例如:假设一个购物应用程序通过向服务器提交以下XML来检查产品的库存水平上述XXE有效载荷定义了一个外部实体&XXE;...
CORScanner:快速的CORS错误配置漏洞扫描器:clinking_beer_mugs:
04-30
关于CORScanner CORScanner是一个Python工具,旨在发现网站的CORS错误配置漏洞。 它可以帮助网站管理员和渗透测试人员检查他们针对的域/ URL是否具有不安全的CORS策略。 特征 快。 它使用而不是Python线程进行并发,这对于网络扫描而言要快得多。 综合的。 它涵盖我们所知道的所有。 灵活的。 它支持各种自定义功能(例如文件输出),这有助于进行大规模扫描。 :NEW_button: CORScanner支持通过pip进行安装( pip install corscanner或pip install cors:NEW_button: CORScanner可以用作项目中的库。 有两个有用的参考资料,可以系统地理解CORS: USENIX安全性18论文: 中文详解: 如果您进行科学研究,请考虑引用我们的论文(点击我)。 乳胶版本: @inproceedings{chen-cors, au
CORS跨域资源共享漏洞
墨鱼菜鸡
01-16 390
目录 CORS跨域资源共享 简单跨域请求 非简单请求 CORS的安全问题 有关于浏览器的同源策略和如何跨域获取资源,传送门——>浏览器同源策略和跨域的实现方法 同源策略(SOP)限制了应用程序之间的信息共享,并且仅允许在托管应用程序的域内共享。这有效防止了系统机密信息的泄露。但与此同时,...
CORS配置错误漏洞检测学习笔记
darkb1rd的博客
04-08 1282
CORS安全配置关键在于严格的源验证、请求限制和全面的监控,对防范跨域攻击至关重要。
CROS错误 网络跨域
weixin_51689532的博客
06-19 1443
CROS错误 网络出现跨域的几种情况
CORS错误是什么如何解决?
weixin_71583566的博客
09-02 2万+
如何解决CROS报错问题
解决CORS错误(Spring Boot)
墨辰JC的博客
02-07 9821
跨域(Cross-Origin)是指在Web开发中,当一个Web应用试图从一个源(域名、协议、端口组合)获取资源时,该请求的目标与当前页面的源不同。具体来说,当一个页面的JavaScript代码尝试向不同域名、协议或端口的服务器发送请求时,就会发生跨域请求。跨域请求是由浏览器实施的同源策略(Same-Origin Policy)限制导致的。同源策略是浏览器的一项安全机制,旨在保护用户的隐私和安全。同源策略要求Web页面只能从相同源加载资源,不同源的页面不能访问彼此的数据,以防止恶意网站获取用户的敏感信息。
Nginx 配置错误导致漏洞(CRLF注入漏洞)——漏洞复现
W小哥
05-20 2489
一、环境搭建 运行成功后,Nginx将会监听8080/8081/8082三个端口,分别对应三种漏洞。 二、漏洞复现 1.CRLF注入漏洞 Nginx会将$uri进行解码,导致传入%0a%0d即可引入换行符,造成CRLF注入漏洞错误配置文件示例(原本的目的是为了让http的请求跳转到https上): location / { return 302 https://hosthosthosturi; } Payload: http://your-ip:8080/%0a%0dSet-Cookie:%20a=
原因:cors 请求未能成功_三种对CORS错误配置的利用方法(转)
热门推荐
weixin_39752087的博客
11-29 6万+
同源策略(SOP)限制了应用程序之间的信息共享,并且仅允许在托管应用程序的域内共享。这有效防止了系统机密信息的泄露。但与此同时,也带来了另外的问题。随着Web应用程序和微服务使用的日益增长,出于实用目的往往需要将信息从一个子域传递到另一个子域,或者在不同域之间进行传递(例如将访问令牌和会话标识符,传递给另一个应用程序)。为了允许跨域通信,开发人员必须使用不同的技术来绕过SOP并传递敏感信息,以至于...
cors漏洞 src
03-25
### CORS漏洞概述 跨域资源共享(Cross-Origin Resource Sharing, CORS)是一种基于HTTP头部的安全机制,用于控制Web应用程序从一个源加载资源到另一个源的行为。当浏览器尝试访问不同源上的资源时,它会通过预检请求(OPTIONS方法)来验证目标服务器是否允许该操作[^3]。 如果CORS配置不当,则可能导致敏感数据泄露或其他安全风险。例如,在某些情况下,服务器可能错误地设置了`Access-Control-Allow-Origin:*`,这使得任何网站都可以无限制地获取其资源[^2]。 ### SRC属性与CORS漏洞的关系 SRC通常指的是企业设立的安全应急响应中心(Security Response Center),鼓励研究人员提交发现的漏洞信息以便及时修补。在涉及多媒体文件处理的应用场景中,比如HTML `<video>`标签嵌入视频流并绘制至Canvas上时遇到的问题表明WebKit内核下的Safari浏览器存在特定限制——即不支持带有跨域设置(`crossorigin`)参数的<video>元素被渲染进<canvas>[^1]。这种行为虽然本身不是直接意义上的“漏洞”,但如果开发者未充分理解这些差异性实现细节就容易引发潜在隐患。 另外需要注意的是,并非所有类型的跨站攻击都能单纯依靠调整CORS策略解决;对于更复杂的交互型XSS等问题仍需综合运用多种防护手段如Content Security Policy(CSP)等加以防范[^4]。 ### 安全问题分析 #### 数据暴露 最典型的例子就是API接口开放了不必要的权限范围给第三方调用者,从而造成用户隐私资料外泄等情况发生。假如某个电商系统的购物车状态查询服务仅限同域名下调取却因疏忽设定了通配符形式(*), 那么恶意站点便能够轻易读取出当前访客所选商品清单等内容。 #### 功能滥用 除了简单的信息公开之外还存在着更为严重的威胁情形—非法操控业务逻辑流程。设想一下在线支付平台为了方便移动客户端集成而提供了免密小额转账功能入口却没有做好身份认证校验工作的话,一旦遭到伪造请求就会带来资金损失后果不堪设想! ### 解决方案建议 针对上述提到的各种可能性危害因素可以从以下几个方面着手改进: - **精确指定可信任来源**: 将具体的URL地址列入白名单而非采用泛化表达方式; - **实施严格的HTTPS加密传输协议** : 确保整个通信链路全程处于SSL/TLS保护之下防止中间人劫持篡改报文内容; 以下是关于如何正确配置Nginx反向代理以启用适当级别的安全性措施的一个简单示例: ```nginx server { listen 80; server_name example.com; location /api/ { proxy_pass http://backend_server/; add_header 'Access-Control-Allow-Origin' 'https://trusted-site.example'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; add_header 'Access-Control-Allow-Headers' 'Authorization'; if ($request_method = 'OPTIONS') { return 204; } } } ``` 此代码片段展示了怎样限定单一可信站点访问的同时也允许必要的自定义首部字段传递过去完成身份验证等功能需求.
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

征__程

多动手,避免老年痴呆,活跃身心

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值