Cors_test(批量测试网站是否存在CORS劫持)

最新推荐文章于 2024-08-15 09:52:17 发布
最新推荐文章于 2024-08-15 09:52:17 发布
阅读量384 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: python
原文链接:http://www.cnblogs.com/P1g3/p/10773433.html
本文介绍了一款Python脚本,用于批量测试Web站点是否存在CORS劫持漏洞,仅当Access-Control-Allow-Origin设置为特定域时生效。脚本支持多线程,并提供了三种测试模式,测试结果将保存在本地文件中。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

该脚本用于批量测试是否存在CORS劫持,只有当Access-Control-Allow-Origin为baidu.com时才存在,否则需要在Access-Control-Allow-Origin域下才可劫持。

环境:Python3

使用:python3 cors_test.py url.txt

漏洞存在的会放入当前目录下的cors_success.txt。

缺点:无爬虫,无法测试api,只能测试网站是否存在CORS劫持,但无法准确找到信息泄露点。

 

#5.21更新

1.添加多线程

2.由文章添加了新的两种测试模式。

参考文章:https://xz.aliyun.com/t/5169
 
 
由于cnblogs排版问题,就不在cnblog上放代码了,上传到网盘了,有需要的师傅可以自行下载。
 
链接: https://pan.baidu.com/s/1Ex0XOfHXx1L4stPoOBpouA 提取码: 4zvn 

转载于:https://www.cnblogs.com/P1g3/p/10773433.html

实战分析和精华总结:CORS跨域资源共享漏洞数据劫持、复现、分析、利用及修复过程
代码讲故事
12-03 2010
实战分析和精华总结:CORS跨域资源共享漏洞数据劫持、复现、分析、利用及修复过程。 CORS跨域资源共享漏洞与JSONP劫持漏洞类似,都是程序员在解决跨域问题中进行了错误的配置。攻击者可以利用Web应用对用户请求数据包的Origin头校验不严格,诱骗受害者访问攻击者制作好的恶意网站,从而跨域获取受害者的敏感数据,包括转账记录、交易记录、个人身份证号信息、订单信息等等。
一文了解JSONP和CORS的同源策略、jsonp劫持、referer绕过、CORS跨域资源共享、CORS 跨域漏洞、信任子域
代码讲故事
01-29 254
一文了解JSONP和CORS的同源策略、jsonp劫持、referer绕过、CORS跨域资源共享、CORS 跨域漏洞、信任子域。
Python-CORStest一个简单的CORS配置错误检查器
08-10
CORStest 一个简单的CORS配置错误检查器
Spring API 的 CORS 测试
HONEY MOOSE
11-04 598
在开发 API 和前端的时候,最麻烦的就是一个 CORS 测试。 你不知道你的 API 是否允许 CORS,也不知道是不是因为前端的原因。 但是 CORS 这个跨域访问确实让人非常头疼。 ## 写个页面 为了解决这个问题,我们用 HTML 写了个页面,这个页面可以对跨域访问进行一些小测试。 请查看页面在 GitHub 上的完整源代码: https://github.com/cwiki-us-demo/java-tutorials/blob/master/src/main/resources/htm
【亲测免费】 推荐一款强大的本地CORS测试工具 - nicks-cors-test
gitblog_00032的博客
06-23 681
推荐一款强大的本地CORS测试工具 - nicks-cors-test 项目介绍 在开发Web应用时,跨域资源共享(CORS)是我们经常会遇到的问题。为了帮助开发者更便捷地测试和理解CORS机制,我们向您推荐一款名为nicks-cors-test的开源工具。这款简单的HTML和JS工具能让你在本地快速测试CORS请求,并查看其结果。 项目技术分析 CORS是一种基于HTTP头部的安全功能,允许服务...
【亲测免费】 CORS测试工具(CORStest)入门指南
gitblog_00999的博客
08-15 1132
CORS测试工具(CORStest)入门指南 1. 项目介绍 CORStest是一款用于检测Cross-Origin Resource Sharing(跨域资源共享)配置错误的安全扫描工具。由James Kettle的研究成果启发而生,这款Python工具能够帮助开发者识别其应用程序中的潜在安全漏洞。它通过向服务器发送特定的Origin请求头并检查Access-Control-Allow-Orig...
探索CORStest:一个强大的跨域安全测试工具
gitblog_00014的博客
04-27 620
探索CORStest:一个强大的跨域安全测试工具 CORStestA simple CORS misconfiguration scanner项目地址:https://gitcode.com/gh_mirrors/co/CORStest 项目简介 是由RUB-NDS团队开发的一款开源项目,专门用于检测和测试CORS (Cross-Origin Resource Sharing)策略的安全性和正确...
常见的Web漏洞——CORS
江左盟的博客
06-05 3137
渗透做了多年的朋友都知道,大洞小洞都是漏洞。因此也学习、沉淀一下以前没重视的漏洞。CORS的漏洞原理、检测和利用方法。
同源策略与cors跨域及jsonp劫持
j1044957016的博客
05-31 990
文章目录前言一、同源策略二、Ajax技术三、CORS跨域1.简单请求2.非简单请求3.漏洞成因及修复四、jsonp劫持总结 前言 本文整理同源策略,Ajax,cors跨域及jsonp劫持 一、同源策略 同源策略(Same Origin Policy):该策略是浏览器的一个安全基石,如果没有同源策略,那么,你打开了一个合法网站,又打开了一个恶意网站。恶意网站的脚本能够随意的操作合法网站的任何可操作资源,没有任何限制。(防止内部资源被外部页面脚本读取或篡改) 浏览器的同源策略规定: 不同域的客户端脚本在没有
CORS漏洞原理分析
m0_38103658的博客
10-24 5864
CORS跨域漏洞原理分析 CORS全称为Cross-Origin Resource Sharing即跨域资源共享,用于绕过SOP(同源策略)来实现跨域资源访问的一种技术。而CORS漏洞则是利用CORS技术窃取用户敏感数据。以往与CORS漏洞类似的JSONP劫持虽然已经出现了很多年,但由于部分厂商对此不够重视导致其仍在不断发展和扩散。 美创安全实验室近期监控到全国各地类似于JSONP劫持或CO...
cors_test.html
09-01
跨域测试demo页面,用于测试请求接口是否浏览器跨域 跨域测试demo页面,用于测试请求接口是否浏览器跨域 跨域测试demo页面,用于测试请求接口是否浏览器跨域
test_cors
02-12
test_cors
test-cors:跨域资源共享(CORS
06-11
测试cors 跨域资源共享(CORS) 编译前 下载安装依赖 进入子项目服务器 make bower install
SRC挖掘经验-cors劫持账户.docx
04-13
懂的自然懂,也可以去一些知名社区找类似的。这个文档里写的有SRC漏洞挖掘的思路和手法,需要用到一些抓包改包软件,例如burpsuite。不太了解这些工具的话可以先去了解一下。祝师傅日日挖高危。
CORS跨域资源共享漏洞验证测试
afei001
01-17 3787
目录 1.前言 2.CORS漏洞概述 3.漏洞验证 3.1 curl指定Origin验证 3.2 Burpsuite抓包验证 3.3 CORS_Scanner工具验证 4.CORS_POC.html 5.漏洞修复 1.前言 之前在对网站进行安全性测试时,使用AWVS漏扫发现存在一个CORS跨域资源共享漏洞。记录一下验证及修复方式。 afei 漏洞等级:高危 2.CORS漏洞概述 CORS(跨源资源共享)定义了一种机制来支持客户端跨源...
CORS手机测试软件,CORS漏洞利用检测和利用方式
weixin_31182871的博客
08-02 553
CORS全称Cross-Origin Resource Sharing, 跨域资源共享,是HTML5的一个新特性,已被所有浏览器支持,不同于古老的jsonp只能get请求。检测方式:1.curl访问网站curl https://www.huasec.com -H "Origin: https://test.com" -I检查返回包的 Access-Control-Allow-Origin 字段是否...
CORS跨域测试文件
Java进阶之路
04-02 1357
众所周知,跨域解决方案有两种,一种是后端使用拦截器或者过滤器解决,一种是前端JOSNP解决,推荐后端过滤器解决。 下面HTML文件可以测试后端跨域配置是否生效 <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; charset=gbk" /> <meta name="keywords" content="j
CORS检测工具使用及比较
墨痕诉清风的博客
12-29 1508
CORS,跨域资源共享(Cross-origin resource sharing),是H5提供的一种机制,WEB应用程序可以通过在HTTP增加字段来告诉浏览器,哪些不同来源的服务器是有权访问本站资源的,当不同域的请求发生时,就出现了跨域的现象。用法基本相同,通过传递参数 url 及 headers,根据系统性能增加线程数。代码简易度:CORScanner > Corsy检测速度:均可设置线程,CORScanner 使用 gevent,Corsy 使用的 ThreadPoolExecutor。
跨源资源共享(CORS)-亲测理解,以及对http的状态,参数的理解和使用,对预检请求的触发和解决
阿牛哥的博客
03-08 1065
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CORS
可以jsessionid作为token来测试接口吗
最新发布
06-07
<think>我们参考上述引用内容来分析jsessionid作为token的可行性及方法。引用[1]和[2]介绍了token的常见组成和校验机制。引用[1]提到JWTtoken由header、payload和signature三部分组成,利用签名机制保证安全性。引用[2]指出最简单的Token组成包括uid、time和sign(签名,用于防止恶意请求)。引用[3]提到cookie的组成以及session和token的概念。问题核心:使用jsessionid作为token测试接口背景知识:-jsessionid是JavaWeb应用服务器(如Tomcat)为每个会话(session)分配的唯一标识符,通常以cookie的形式(如`JSESSIONID=xxxxx`)或URL重写的方式存在。-在基于session的认证机制中,服务器通过jsessionid来识别客户端,并在服务器端存储了与该session相关的用户信息(如用户登录状态等)。可行性分析:1.功能上:只要接口接受在请求中携带jsessionid(通常放在Cookie头中),并且服务器端仍然维护着该session,那么使用jsessionid作为“令牌”来测试接口是可行的。2.安全性:与JWT等token机制不同,jsessionid本身不携带用户信息,也不包含签名,它只是一个会话标识符。因此,它依赖于服务器端的会话存储。如果传输通道不安全(如使用HTTP而非HTTPS),jsessionid可能会被截获,导致会话劫持。此外,如果session的存储和管理不当,也可能存在安全风险。3.测试接口:在测试中,我们通常关注的是接口的功能性,而非生产环境的安全性(当然,如果安全是需求的一部分则需考虑)。因此,在测试环境中使用jsessionid进行接口测试是常见的做法。使用方法:1.首先,需要获取一个有效的jsessionid。通常,通过登录接口可以获取,因为登录成功后服务器会返回一个Set-Cookie响应头,其中包含JSESSIONID。2.然后,在后续的接口请求中,在请求头中加入Cookie:JSESSIONID=xxxxx。3.注意:jsessionid有有效期(服务器端session的超时时间),如果超过时间没有活动,session会失效,需要重新登录获取。示例步骤(使用JavaScript的fetchAPI):步骤1:登录获取jsessionid```javascriptconstloginResponse=awaitfetch('http://example.com/login',{method:'POST',headers:{'Content-Type':'application/x-www-form-urlencoded',},body:'username=test&password=test'});//从响应头中提取jsessionidconstjsessionid=loginResponse.headers.get('set-cookie').match(/JSESSIONID=([^;]+)/)[1];```步骤2:使用获取的jsessionid调用其他接口```javascriptconstapiResponse=awaitfetch('http://example.com/api/data',{method:'GET',headers:{//将jsessionid放入Cookie头'Cookie':`JSESSIONID=${jsessionid}`}});```注意事项:-在测试中,需要确保每次测试开始时获取一个新的jsessionid(或者复用同一个session,根据测试需求而定)。-如果服务器配置了跨域限制,需要在请求中处理CORS问题。-如果测试多个用户,需要为每个用户维护不同的jsessionid。总结:在测试接口时,使用jsessionid作为会话凭证是可行的,但需注意其安全性和会话管理机制。在测试环境中,这种方法简单易行,适合基于session认证的Web应用接口测试。生成相关问题:1.在测试中如何处理jsessionid的过期问题?2.除了jsessionid,还有哪些常见的会话管理方式可用于接口测试?3.如何保障在使用jsessionid测试接口时的安全性?4.使用jsessionid与使用JWTtoken在测试中有何不同?</think> ### 使用 `JSESSIONID` 作为 Token 测试接口的可行性分析 #### ✅ 可行性评估 1. **技术原理可行** 根据引用[1][^1]的签名机制原理,`JSESSIONID` 本质是服务器生成的会话标识符: - 类似 Token 的 `uid`(用户唯一标识)作用(引用[2][^2]) - 符合 Cookie 的安全传输规范(引用[3][^3]),可通过 HTTPS 保证安全传输 - 在服务端会话存续期间有效 2. **测试场景适用性** 适合测试需要会话状态的接口(如引用[4][^4]提到的交易类接口),因为: - 服务器通过 `JSESSIONID` 关联用户会话数据 - 替代用户登录状态进行身份验证 3. **安全限制** - **仅限测试环境使用**:生产环境需使用 JWT 等加密 Token(引用[1][^1]) - **有效期短**:受服务端 session 超时时间限制(通常 30 分钟) --- ### 🔧 测试方法(示例代码) #### 步骤 1:获取 JSESSIONID ```javascript // 用户登录获取 Cookie const login = async () => { const res = await fetch("/login", { method: "POST", body: JSON.stringify({user: "test", pwd: "123"}), headers: {"Content-Type": "application/json"} }); // 提取 JSESSIONID (Tomcat 默认格式) const cookies = res.headers.get("set-cookie"); const jsessionid = cookies.match(/JSESSIONID=([^;]+)/)[1]; return jsessionid; }; ``` #### 步骤 2:携带 JSESSIONID 测试接口 ```javascript // 测试受保护接口 const testAPI = async (jsessionid) => { const res = await fetch("/api/transaction", { method: "GET", headers: { "Cookie": `JSESSIONID=${jsessionid}` // 关键:在 Cookie 头中传递 } }); return res.json(); }; // 执行测试 (async () => { const token = await login(); const data = await testAPI(token); console.log("接口返回:", data); })(); ``` --- #### ⚠️ 注意事项 1. **安全传输** 必须通过 HTTPS 传输(引用[3][^3]),避免会话劫持 2. **状态依赖** 需要先完成登录流程获取有效的 `JSESSIONID` 3. **服务端配置** 确保服务启用了 session 管理(如 Tomcat 的 `<session-config>`) 4. **跨域限制** 浏览器需配置 `withCredentials: true` 和 CORS 白名单 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值