CORS-Fehlkonfiguration
Was ist CORS-Fehlkonfiguration?
CORS-FehlkonfigurationUnsichere CORS-Konfiguration, die nicht vertrauenswürdigen Ursprüngen das Lesen authentifizierter Antworten erlaubt, häufig durch Origin-Reflexion und Allow-Credentials: true.
Eine CORS-Fehlkonfiguration entsteht, wenn ein Server Cross-Origin Resource Sharing so implementiert, dass die Same-Origin-Policy effektiv aufgehoben wird. Typische Fehler sind das Spiegeln beliebiger Origins in Access-Control-Allow-Origin, Erlauben von 'null', Wildcard-Subdomains oder die Kombination von Allow-Origin: * und Allow-Credentials: true. Der Angreifer hostet eine Seite, die authentifizierte Cross-Origin-Anfragen sendet; da die Antwort nun lesbar ist, können Session-Tokens, Kontodaten oder API-Antworten exfiltriert werden. Schutz bieten strikte Allow-Listen, Verbot der Origin-Reflexion und der Verzicht auf die Kombination von Credentials mit Wildcards.
● Beispiele
- 01
Server gibt Access-Control-Allow-Origin: https://attacker.com zurück, wenn der Origin-Header attacker.com lautet.
- 02
API erlaubt Access-Control-Allow-Origin: null, was aus sandboxed iframes ausgelöst werden kann.
● Häufige Fragen
Was ist CORS-Fehlkonfiguration?
Unsichere CORS-Konfiguration, die nicht vertrauenswürdigen Ursprüngen das Lesen authentifizierter Antworten erlaubt, häufig durch Origin-Reflexion und Allow-Credentials: true. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet CORS-Fehlkonfiguration?
Unsichere CORS-Konfiguration, die nicht vertrauenswürdigen Ursprüngen das Lesen authentifizierter Antworten erlaubt, häufig durch Origin-Reflexion und Allow-Credentials: true.
Wie funktioniert CORS-Fehlkonfiguration?
Eine CORS-Fehlkonfiguration entsteht, wenn ein Server Cross-Origin Resource Sharing so implementiert, dass die Same-Origin-Policy effektiv aufgehoben wird. Typische Fehler sind das Spiegeln beliebiger Origins in Access-Control-Allow-Origin, Erlauben von 'null', Wildcard-Subdomains oder die Kombination von Allow-Origin: * und Allow-Credentials: true. Der Angreifer hostet eine Seite, die authentifizierte Cross-Origin-Anfragen sendet; da die Antwort nun lesbar ist, können Session-Tokens, Kontodaten oder API-Antworten exfiltriert werden. Schutz bieten strikte Allow-Listen, Verbot der Origin-Reflexion und der Verzicht auf die Kombination von Credentials mit Wildcards.
Wie schützt man sich gegen CORS-Fehlkonfiguration?
Schutzmaßnahmen gegen CORS-Fehlkonfiguration kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für CORS-Fehlkonfiguration?
Übliche alternative Bezeichnungen: Permissives CORS.
● Verwandte Begriffe
- appsec№ 223
CORS (Cross-Origin Resource Sharing)
Vom Browser durchgesetzter Mechanismus, mit dem ein Server die Same-Origin Policy gezielt lockern kann, damit JavaScript einer Origin Antworten einer anderen lesen darf.
- appsec№ 960
Same-Origin Policy (SOP)
Browser-Sicherheitsregel, die einschrankt, wie ein Dokument oder Skript einer Origin mit Ressourcen einer anderen Origin interagieren darf.
- attacks№ 240
Cross-Site-Scripting (XSS)
Web-Schwachstelle, mit der Angreifer bösartige Skripte in Seiten injizieren, die andere Nutzer öffnen, sodass der Code im Browser des Opfers unter der Origin der Seite ausgeführt wird.
- attacks№ 239
Cross-Site-Request-Forgery (CSRF)
Webangriff, der den Browser eines authentifizierten Nutzers zwingt, unerwünschte Anfragen an eine verwundbare Anwendung zu senden und so ohne Zustimmung Zustandsänderungen auszulösen.
- appsec№ 961
SameSite-Cookie
Cookie-Attribut, das steuert, ob Browser das Cookie bei site-übergreifenden Anfragen mitsenden — Werte Strict, Lax und None —, vor allem zur CSRF-Minderung.
- attacks№ 1016
Session Hijacking
Angriff, der die authentifizierte Sitzung eines Opfers übernimmt, indem die Session-ID gestohlen oder gefälscht wird, sodass der Angreifer ohne Zugangsdaten als Nutzer agieren kann.
● Siehe auch
- № 566JSONP-Schwachstelle