Mauvaise Configuration CORS
Qu'est-ce que Mauvaise Configuration CORS ?
Mauvaise Configuration CORSPolitique CORS non sûre permettant à des origines non fiables de lire des réponses authentifiées, typiquement en reflétant l'en-tête Origin avec Access-Control-Allow-Credentials: true.
Une mauvaise configuration CORS survient lorsqu'un serveur implémente Cross-Origin Resource Sharing d'une manière qui annule la politique de même origine. Les erreurs courantes incluent la réflexion de toute Origin dans Access-Control-Allow-Origin, l'autorisation de l'origine 'null', les jokers sur sous-domaines, ou la combinaison Allow-Origin: * et Allow-Credentials: true. L'attaquant héberge une page qui émet des requêtes authentifiées multi-origines ; la réponse étant lisible, il exfiltre jetons de session, informations de compte ou réponses d'API. Les défenses comprennent une liste blanche stricte, le refus de la réflexion d'Origin et l'interdiction d'associer credentials et jokers.
● Exemples
- 01
Le serveur renvoie Access-Control-Allow-Origin: https://attaquant.com quand l'en-tête Origin vaut attaquant.com.
- 02
L'API accepte Access-Control-Allow-Origin: null, déclenchable depuis des iframes sandboxées.
● Questions fréquentes
Qu'est-ce que Mauvaise Configuration CORS ?
Politique CORS non sûre permettant à des origines non fiables de lire des réponses authentifiées, typiquement en reflétant l'en-tête Origin avec Access-Control-Allow-Credentials: true. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Mauvaise Configuration CORS ?
Politique CORS non sûre permettant à des origines non fiables de lire des réponses authentifiées, typiquement en reflétant l'en-tête Origin avec Access-Control-Allow-Credentials: true.
Comment fonctionne Mauvaise Configuration CORS ?
Une mauvaise configuration CORS survient lorsqu'un serveur implémente Cross-Origin Resource Sharing d'une manière qui annule la politique de même origine. Les erreurs courantes incluent la réflexion de toute Origin dans Access-Control-Allow-Origin, l'autorisation de l'origine 'null', les jokers sur sous-domaines, ou la combinaison Allow-Origin: * et Allow-Credentials: true. L'attaquant héberge une page qui émet des requêtes authentifiées multi-origines ; la réponse étant lisible, il exfiltre jetons de session, informations de compte ou réponses d'API. Les défenses comprennent une liste blanche stricte, le refus de la réflexion d'Origin et l'interdiction d'associer credentials et jokers.
Comment se défendre contre Mauvaise Configuration CORS ?
Les défenses contre Mauvaise Configuration CORS combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Mauvaise Configuration CORS ?
Noms alternatifs courants : CORS permissif.
● Termes liés
- appsec№ 223
CORS (Partage de ressources entre origines)
Mécanisme appliqué par le navigateur permettant à un serveur d'assouplir sélectivement la politique de même origine pour que du JavaScript d'une origine puisse lire les réponses d'une autre.
- appsec№ 960
Politique de même origine (SOP)
Regle de securite du navigateur qui restreint la maniere dont un document ou script charge depuis une origine peut interagir avec une ressource d'une autre origine.
- attacks№ 240
Cross-Site Scripting (XSS)
Vulnérabilité web permettant à un attaquant d'injecter des scripts malveillants dans des pages consultées par d'autres utilisateurs, exécutés dans leur navigateur sous l'origine du site.
- attacks№ 239
Cross-Site Request Forgery (CSRF)
Attaque web qui force le navigateur d'un utilisateur authentifié à envoyer des requêtes non désirées vers un site vulnérable, déclenchant des actions sans son consentement.
- appsec№ 961
Cookie SameSite
Attribut de cookie qui contrôle son envoi sur les requêtes inter-sites, avec les valeurs Strict, Lax et None, utilisé principalement pour mitiger le CSRF.
- attacks№ 1016
Détournement de session
Attaque qui prend le contrôle de la session authentifiée d'une victime en volant ou en forgeant son identifiant de session, pour agir comme l'utilisateur sans ses identifiants.
● Voir aussi
- № 566Vulnérabilité JSONP