Неправильная настройка CORS
Что такое Неправильная настройка CORS?
Неправильная настройка CORSНебезопасная CORS-политика, позволяющая недоверенным источникам читать аутентифицированные ответы, обычно через отражение Origin и Allow-Credentials: true.
Неправильная настройка CORS возникает, когда сервер реализует Cross-Origin Resource Sharing так, что фактически обходит политику одного источника. Типичные ошибки — отражение любого Origin в Access-Control-Allow-Origin, разрешение 'null', шаблоны субдоменов, сочетание Allow-Origin: * и Allow-Credentials: true. Атакующий размещает страницу, отправляющую аутентифицированные межсайтовые запросы; так как ответ доступен для чтения, можно похитить сессионные токены, данные аккаунта или ответы API. Защита включает строгий список доверенных источников, запрет на отражение Origin и отказ от сочетания учётных данных с шаблонами.
● Примеры
- 01
Сервер возвращает Access-Control-Allow-Origin: https://attacker.com при заголовке Origin attacker.com.
- 02
API разрешает Access-Control-Allow-Origin: null, вызываемый из sandboxed iframe.
● Частые вопросы
Что такое Неправильная настройка CORS?
Небезопасная CORS-политика, позволяющая недоверенным источникам читать аутентифицированные ответы, обычно через отражение Origin и Allow-Credentials: true. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Неправильная настройка CORS?
Небезопасная CORS-политика, позволяющая недоверенным источникам читать аутентифицированные ответы, обычно через отражение Origin и Allow-Credentials: true.
Как работает Неправильная настройка CORS?
Неправильная настройка CORS возникает, когда сервер реализует Cross-Origin Resource Sharing так, что фактически обходит политику одного источника. Типичные ошибки — отражение любого Origin в Access-Control-Allow-Origin, разрешение 'null', шаблоны субдоменов, сочетание Allow-Origin: * и Allow-Credentials: true. Атакующий размещает страницу, отправляющую аутентифицированные межсайтовые запросы; так как ответ доступен для чтения, можно похитить сессионные токены, данные аккаунта или ответы API. Защита включает строгий список доверенных источников, запрет на отражение Origin и отказ от сочетания учётных данных с шаблонами.
Как защититься от Неправильная настройка CORS?
Защита от Неправильная настройка CORS обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Неправильная настройка CORS?
Распространённые альтернативные названия: Слабая CORS-политика.
● Связанные термины
- appsec№ 223
CORS (совместное использование ресурсов между источниками)
Механизм, обеспечиваемый браузером, позволяющий серверу выборочно ослабить политику одного источника, чтобы JavaScript одного домена мог читать ответы другого.
- appsec№ 960
Политика одного источника (SOP)
Правило безопасности браузера, ограничивающее взаимодействие документа или скрипта одного источника с ресурсами другого источника.
- attacks№ 240
Межсайтовый скриптинг (XSS)
Веб-уязвимость, позволяющая злоумышленнику внедрять вредоносные скрипты на страницы, просматриваемые другими пользователями, и выполнять их в браузере жертвы под источником сайта.
- attacks№ 239
Подделка межсайтовых запросов (CSRF)
Веб-атака, заставляющая браузер аутентифицированного пользователя отправлять нежелательные запросы к уязвимому сайту и выполнять действия без его согласия.
- appsec№ 961
Кука SameSite
Атрибут куки, определяющий, отправляет ли браузер её при межсайтовых запросах; значения Strict, Lax, None; используется в основном для смягчения CSRF.
- attacks№ 1016
Перехват сессии
Атака, при которой злоумышленник захватывает уже аутентифицированную сессию жертвы, похищая или подделывая её идентификатор и действуя как пользователь без его учётных данных.
● См. также
- № 566Уязвимость JSONP