Курс на мисконфиги. Как поймать проблемный CORS на проде

Содержание статьи

Same Origin Policy
Cross-Origin Resource Sharing (CORS)
Access-Control-Allow-Origin
Access-Control-Allow-Credentials
Простые и сложные запросы
Запросы pre-flight
Частые ошибки конфигурации CORS
Отражение Origin в ответном заголовке
Значение null в белом списке
Ошибки парсинга заголовка Origin
В поисках мисконфигов
Тестирование
Результаты
Выводы

В этой статье мы расскажем, как работает технология SOP, которая защищает твой браузер от вредоносных скриптов. Разберем основные виды мисконфигов и составим шпаргалки с разными случаями поведения CORS. В конце разберем пример и проверим работоспособность PoC.

Same Origin Policy

SOP (Same Origin Policy) — это политика безопасности браузера, которая контролирует взаимодействие между сайтами. Она нужна для предотвращения кражи данных пользователя вредоносным скриптом.

До внедрения SOP, данные крали так:

Атакующий заставляет жертву перейти на вредоносный сайт с уже подготовленным эксплоитом на JavaScript.

Жертва перешла по ссылке, и от ее имени отправляется запрос на сайт, содержащий ее важные данные.

Ответ от сайта читается скриптом и передается на сервер злоумышленника.

Злоумышленник получает личные данные, которые может использовать для развития атаки.

Проблема в том, что когда браузер отправляет HTTP-запрос из одного источника в другой, cookie-файлы, относящиеся к другому домену, тоже отправляются в запросе. Это значит, что ответ будет сгенерирован в рамках сеанса пользователя и будет включать в себя доступные только ему данные. Чтобы предотвратить такое поведение и существует SOP.

Межсайтовые взаимодействия обычно делят на три категории:

Межсайтовые записи. Как правило, допускаются. Это могут быть ссылки, редиректы, формы, отправка запросов через fetch и так далее. Некоторые «сложные» запросы требуют pre-flight (предварительного запроса) но об этом поговорим отдельно.

Межсайтовое встраивание. Обычно разрешено. Например, для подгрузки ресурсов через теги img, video, frame и аналогичные им.

Межсайтовое чтение. Как правило, не допускаются, но доступ к чтению часто просачивается путем встраивания. Например, ты можешь прочитать ширину и высоту встроенного изображения, получить результат действия встроенного сценария или проверить доступность встроенного ресурса.

В качестве иллюстрации отправим несколько запросов со страницы http://discovery-lab.su/index.html. Реакция SOP приведена в таблице ниже.

А вот схема, показывающая, из чего состоит заголовок Origin.

Cross-Origin Resource Sharing (CORS)

Раньше сайтам требовалось взаимодействовать друг с другом, но SOP блокировала множество таких запросов. Тогда люди придумали механизм CORS (Cross-Origin Resource Sharing), который предназначался для смягчения политики SOP.

Вот чуть более подробное описание из справки Mozilla:

Теперь давай разберемся с двумя заголовками, на которые предстоит чаще всего обращать внимание: Access-Control-Allow-Origin и Access-Control-Allow-Credentials.

Access-Control-Allow-Origin

Заголовок ответа Access-Control-Allow-Origin показывает, с какого источника может быть доступен ответ сервера.

Возможные значения:

Звездочка — говорит браузерам разрешать запрос любого происхождения для доступа к ресурсу (но только для запросов без учетных данных).

<domain> — указывает одно происхождение, с которого можно получать ответ сервера.

null — указывает «нулевое» происхождение. Никогда не добавляй его в белый список! Происхождение для некоторых схем (data:, file:) и документы, доступные через песочницу, определяются как «нулевые».

Access-Control-Allow-Credentials

В зависимости от заголовков, межсайтовые запросы могут быть переданы без куки или заголовка авторизации. Впрочем, если задана настройка CORS Access-Control-Allow-Credentials: true, то сервер может разрешить чтение ответа, когда передаются куки или заголовок авторизации.

Источник: xakep.ru