实战分析和精华总结:CORS跨域资源共享漏洞数据劫持、复现、分析、利用及修复过程。
CORS跨域资源共享漏洞与JSONP劫持漏洞类似,都是程序员在解决跨域问题中进行了错误的配置。攻击者可以利用Web应用对用户请求数据包的Origin头校验不严格,诱骗受害者访问攻击者制作好的恶意网站,从而跨域获取受害者的敏感数据,包括转账记录、交易记录、个人身份证号信息、订单信息等等。
近几年在很多的渗透测试报告中,CORS跨域资源共享漏洞越来越多了。有的朋友实在挖不出漏洞,偶尔就会写上一个CORS跨域资源共享漏洞出一份报告,但是细究起来以下几个问题,却都模棱两可,搞不明白。
CORS(Cross-Origin Resource Sharing, 跨域资源共享)是HTML5的一个新特性,用于解决浏览器跨域网络资源访问,目前已经被所有浏览器支持,并被主流网站广泛部署使用。总结了7大类容易出错的 CORS 误配置问题,并对现实网络中CORS部署安全现状进行了评估。我们对Alex 排名前5万的域名以及超过9千多万个子域名进行了大规模测量,发现有27.5%的部署CORS 的网站存在误配置安全问题,其中包括sohu.com、fedex.com、nasdaq.com等国内外知名网站。这些安全问题能够造成用户隐私泄露,信息窃取甚至账户劫持。 我们还测试分析了11款主流的 CORS 框架,发现其中10款框架都存在至少一类不安全配置。本文总结 CORS 部署安全最佳实践,并提供一款开源自动化 CORS 误配置漏洞检测工具,为Web 开发人员和渗透测试人员避免和发现 CORS 不安全配置提供参考。
