The GitHub Blog
·
本地主机的危险:CORS与DNS重绑定
💡
原文英文,约2500词,阅读约需9分钟。
📝
内容提要
在GitHub安全实验室,CORS机制常引发安全漏洞。开发者因用户需求修改CORS规则,但未充分理解风险,导致不安全配置。文章探讨了CORS错误配置的案例及后果,强调理解CORS响应头的重要性,并建议开发者谨慎使用库和自定义代码,以避免安全漏洞。
🎯
关键要点
- GitHub安全实验室发现CORS机制常引发安全漏洞。
- 开发者因用户需求修改CORS规则,但未充分理解风险,导致不安全配置。
- CORS允许服务器指示浏览器从指定源加载资源,绕过同源策略。
- 理解Access-Control-Allow-Origin和Access-Control-Allow-Credentials响应头对安全实施CORS至关重要。
- 开发者应谨慎使用CORS库和自定义代码,以避免安全漏洞。
- 常见的CORS实现错误包括使用不安全的字符串比较函数。
- CORS配置错误可能导致攻击者以用户身份执行操作,尤其是在使用Cookies或HTTP基本认证时。
- CORS问题可能导致攻击者获得管理员权限,从而执行远程代码。
- 真实案例显示CORS错误配置导致远程代码执行和其他安全问题。
- DNS重绑定攻击与CORS配置错误类似,但不需要开发者的错误。
- 开发者应在发布软件时检查源头头信息与主机是否匹配,以增强安全性。
- 新浏览器保护措施可能会减少CORS相关风险,开发者应定期检查代码中的CORS配置。
❓
延伸问答
CORS是什么,它是如何工作的?
CORS是一种允许网站直接相互通信的机制,通过绕过同源策略,允许服务器指示浏览器从指定源加载资源。
CORS配置错误可能导致什么安全问题?
CORS配置错误可能导致攻击者以用户身份执行操作,获取管理员权限,甚至实现远程代码执行。
开发者在实现CORS时常见的错误有哪些?
常见错误包括使用不安全的字符串比较函数,如startsWith和endsWith,未能准确匹配允许的域名。
如何安全地配置CORS?
开发者应使用exactMatch函数确保域名完全匹配,并避免将null origin添加到允许的域名中。
DNS重绑定攻击与CORS配置错误有什么相似之处?
DNS重绑定攻击与CORS配置错误都允许来自未授权源的请求,但DNS重绑定不需要开发者的错误配置。
如何防止DNS重绑定攻击?
可以通过为所有敏感端点添加简单的身份验证,或检查主机头是否匹配预期主机名来防止DNS重绑定攻击。
➡️
