跨域资源共享漏洞

一、跨域资源共享漏洞验证

跨域资源共享漏洞（Cross-Origin Resource Sharing, CORS）是由于浏览器的实现机制导致的，它的本质是浏览器允许网页上的JavaScript代码向跨域服务器发送HTTP请求，从而获取数据。但由此也带来了安全风险。

验证CORS是否存在漏洞的方法有很多，其中较常用的几种如下：

1. Burpsuite

使用Burpsuite可以抓取请求，然后进行修改，模拟跨域请求。如果跨域资源共享漏洞存在，我们就可以得到源站的信息和资源。

POST /login HTTP/1.1
Host: abc.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Content-Length: 23
Origin: http://www.xyz.com
Connection: close

name=admin&password=123

2. 自建跨域资源共享测试网站

可以自建一个测试网站，测试跨域请求有没有成功。例如，我们自建的跨域资源共享测试网站是http://www.cors-test.com/，其页面上为一个JavaScript链接，如果该域名允许跨域访问，即可正常打开JavaScript页面。

<html>
<head>
<script src="http://www.cors-test.com/load-script.js">
</script>
</head>
<body>
<p>Hello, World!</p>
</body>
</html>

3. 浏览器的开发者工具

通过开发者工具可以方便地查看HTTP请求和响应，并进行修改和添加。例如，可以使用Chrome的开发者工具，选择Network标签页，找到发送请求的地址，查看响应报文，如果 Access-Control-Allow-Origin 是 *，表示该站点存在 CORS 漏洞。

二、跨域资源共享漏洞修复

跨域资源共享漏洞的修复方法如下：

1. 同源策略

浏览器的同源策略禁止不同源网页间的 cookie、localStorage 和 IndexDB 等数据相互访问，而通过这些方式能够获取其他网页 valuable 的信息，可以减少攻击者对网页的攻击，防止一些不必要的资源泄露。

2. 服务器设置CORS

可以通过在响应头（Response Header）字段里设置 Access-Control-Allow-Origin，来令指定来源访问该资源，指定来源后将禁止其他来源对资源的访问，可以避免跨站请求攻击（CSRF）。例如，若网站http://www.abc.com允许http://www.xyz.com和http://www.klm.com进行跨域资源请求，则在www.abc.com的响应头中应增加如下内容：

Access-Control-Allow-Origin: http://www.xyz.com
Access-Control-Allow-Methods: POST, GET
Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: Content-Type, *

3. 使用Token传递数据

使用Token传递数据是跨域访问的一种方案，Token是用户的身份令牌，可以直接翻看该身份令牌从而克服跨站请求攻击（CSRF）。

三、跨域资源共享CORS详解

1. CORS的类型

CORS请求分为两类：简单请求（Simple Request）和非简单请求（Non-simple Request）。

简单请求需同时满足以下四个条件：

使用 HTTP 方法为：GET、HEAD 或 POST
Content-Type 为text/plain、multipart/form-data、application/x-www-form-urlencoded中的一种
请求中的任意 XMLHttpRequestUpload 对象均没有注册任何事件监听器
请求中没有使用不安全的标头（如Cookie、Authorization等）或者是之前已经通过Access-Control-Allow-Headers设置了

非简单请求满足以下任意一个：

使用PUT、DELETE方法，或者是使用其他请求方法，POST请求Content-Type不是text/plain、multipart/form-data、application/x.www.form-urlencoded之一
请求中的任意 XMLHttpRequestUpload 对象均注册了事件监听器
请求中使用了之前没有用过的自定义标头

2. CORS流程

CORS流程如下：

浏览器发现AJAX请求是跨源的，就会为该请求添加origin字段，标明来源，例如，origin: http://www.abc.com
服务器如果接受跨源请求，就需要在响应头中添加 Access-Control-Allow-Origin，指定允许的源，例如，Access-Control-Allow-Origin: http://*.xyz.com 表示允许以 xyz.com Qualified Name Label 结尾的任何请求跨源访问。如果要允许所有源访问该资源，则可以设置为 Access-Control-Allow-Origin：*
完成以上两步后，浏览器会对响应头进行检查，如果 origin 在 Access-Control-Allow-Origin 允许的列表中，就将响应返回给前端，否则便会停止请求，也就是将响应取消。

3. CORS的安全性

CORS通过在跨域请求时加入origin头，在服务器端进行判别，只有同意情况下才能发生跨域请求，避免了一些跨域危害。同时，设置 Access-Control-Allow-Origin 的时候千万不能设置为 *，这个时候服务器允许所有站点跨域请求，这将导致严重的安全问题。

原创文章，作者：CHCNU，如若转载，请注明出处：https://www.506064.com/n/316528.html