CORS 请求未能成功_CORS攻击概述
原創(chuàng): 慌得一批 合天智匯
0x01.CORS簡介CORS是一個W3C標(biāo)準(zhǔn),全稱是"跨域資源共享"(Cross-originresource sharing)。
出于安全原因,瀏覽器限制從腳本中發(fā)起的跨域HTTP請求。默認的安全限制為同源策略,即JavaScript或Cookie只能訪問同域下的內(nèi)容。
而CORS允許瀏覽器向跨源服務(wù)器,發(fā)出XMLHttpRequest請求,從而克服了AJAX只能同源使用的限制。0x02.分類CORS請求分成兩類:簡單請求(simplerequest)和非簡單請求(not-so-simplerequest)
只要同時滿足以下兩大條件,就屬于簡單請求。
(1)請求方法是HEAD,GET,POST之一
(2)HTTP的頭信息不超出以下幾種字段。
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type:(只限于三個值application/x-www-form-urlencoded、multipart/form-data、text/plain)
凡是不同時滿足上面兩個條件,就屬于非簡單請求。
對于簡單請求,瀏覽器直接發(fā)出CORS請求。具體來說,就是在頭信息之中,增加一個Origin字段。
如果Origin指定的源,不在許可范圍內(nèi),服務(wù)器會返回一個正常的HTTP回應(yīng)。如果回應(yīng)的頭信息沒有包含Access-Control-Allow-Origin字段,瀏覽器就會拋出一個錯誤,被XMLHttpRequest的onerror回調(diào)函數(shù)捕獲。注意,這種錯誤無法通過狀態(tài)碼識別,因為HTTP回應(yīng)的狀態(tài)碼有可能是200。
如果Origin指定的域名在許可范圍內(nèi),服務(wù)器返回的響應(yīng),會多出幾個以Access-Control-開頭的字段。
其中最重要的兩個是Access-Control-Allow-Origin和Access-Control-Allow-Credentials
Access-Control-Allow-Origin是必須的,它表示可接受跨域的域名
Access-Control-Allow-Credentials是可選的。它的表示是否允許發(fā)送Cookie或其他憑據(jù)這里要敲重點了,通常是由于Access-Control-Allow-Origin配置不當(dāng)從而引發(fā)導(dǎo)致跨域問題。
對于非簡單CORS請求,會在正式通信之前,增加一次HTTP查詢請求,稱為預(yù)檢請求(preflight)
一旦服務(wù)器通過了預(yù)檢請求,以后每次瀏覽器正常的CORS請求,就都跟簡單請求一樣0x03.CORS漏洞測試通常,當(dāng)服務(wù)器收到頭部帶有Origin字段的請求的時候才會配置CORS
所以我們需要發(fā)送頭部帶有Origin的數(shù)據(jù)包來進行測試
curlhttps://api.artsy.net -H "Origin: http://bbb.com" -I
HTTP/1.1200 OK
Access-Control-Allow-Credentials:true
Access-Control-Allow-Origin:http://bbb.com
....
可以看到Access-Control-Allow-Origin返回的是我們的Origin值
這便意味著可以接受來自http://bbb.com的跨域請求
那很明顯這個站點就存在CORS漏洞了
如果http://bbb.com是我們控制的一個網(wǎng)站或者該網(wǎng)站有XSS等漏洞我們便可以利用該漏洞對https://api.artsy.net進行CORS攻擊
首先講惡意js植入http://bbb.com當(dāng)用戶訪問時js便在不知不覺中發(fā)起跨域請求竊取用戶在https://api.artsy.net上的敏感信息或進行敏感操作
利用:<script type="text/javascript">var xhr = new XMLHttpRequest();xhr.onreadystatechange = function() {if(xhr.readyState === 4) {console.log(xhr.responseText);}}xhr.open("GET", " https://api.artsy.net ");xhr.send();</script>
首先將以上代碼保存為1.html
然后用游覽器打開1.html并打開控制臺
這里可以我們可以看到游覽器成功的進行了一次跨域請求
控制臺輸出了https://api.artsy.net的源代碼
所以如果https://api.artsy.net包含了用戶的敏感信息或進行敏感操作那就可以被攻擊者讀取到,之后可以再用XMLHttpRequest發(fā)送到攻擊者的服務(wù)器上
可能有的同學(xué)就要抬杠了,直接這樣請求不是挺正常么
那我們現(xiàn)在把https://api.artsy.net換成https://www.baidu.com看看
很明顯,游覽器不會讓我們這么干
因為服務(wù)器沒有返回CORS頭,游覽器就不會進行跨域請求0x04防御(1)如果沒有必要就不要開啟CORS(2)嚴格限制域白名單,而不是使用*(3)盡量避免使用Access-Control-Allow-Credentials
總結(jié)
以上是生活随笔為你收集整理的CORS 请求未能成功_CORS攻击概述的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: python的基本原理_Python函数
- 下一篇: java护照号码校验_SpringBoo