Ihor Bliumental - Collision CORS
Sep. 11, 2017•0 likes•370 views
Download to read offline
Report
Technology
Slides from Unsafe CORS workshop by Ihor Bluimental at OWASP Kyiv Chapter Fall 2017 meetup. Follow Ihor on Twitter: https://twitter.com/igorblum
OWASP KyivFollow
OWASP KyivRecommended
Ihor Bliumental – Is There Life Outside OWASP Top-10OWASP Kyiv
Расширения для Safari: блокировщик контента в 50 строчек кода (Вадим Дробинин)Vadim Drobinin
Лечение мобильных, поисковых редиректов и дорвеев на сайте revisium
![[ONSEC ]XSS vs waf](https://cdn.slidesharecdn.com/ss_thumbnails/xssvswaf-101111135143-phpapp02-thumbnail.jpg?width=384&height=256&fit=bounds)
[ONSEC ]XSS vs wafd0znp
XSS. Обходы фильтров и защит.Дмитрий Бумов
KazHackStan - "><script>alert()</script>Дмитрий Бумов
More Related Content
Slideshows for you
Иван Карев — Клиентская оптимизацияYandex
Кухня создания PBN: От поиска доменов, сетапа сайтов, до тестов и простановкиNaZapad
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровYandex
А.Могильников "Специализированные облака", DUMP-2014it-people
Securing Rails ApplicationsAlexander Kirillov
Иван Карев — Клиентская оптимизацияYandex
More from OWASP Kyiv
Is there a penetration testing within PCI DSS certification? (Dmytro Diordiyc...OWASP Kyiv
Software Supply Chain Security та компоненти з відомими вразливостямиOWASP Kyiv
Cloud Security Hardening та аудит хмарної безпеки за допомогою Scout SuiteOWASP Kyiv
Threat Modeling with OWASP Threat DragonOWASP Kyiv
Anastasia Vixentael - Don't Waste Time on Learning Cryptography: Better Use I...OWASP Kyiv
Vlad Styran - Cyber Security Economics 101OWASP Kyiv
Ihor Bliumental - Collision CORS
- Ihor Bliumental OWASP Kyiv Chapter Lead ihor.bliumental@owasp.org Unsafe Cross Origin Resource Sharing
- Same Origin Policy (SOP) • Origin: https://example.com:8433 • http://example.com:8443 • https://www.example.com:8443 • https://example.com:443 • https://www.example.org:8443
- Репозиторий и ссылки • https://goo.gl/63ZGwt
- Cross Origin Access • Запись. Обычно разрешена (ссылки, перенаправления, формы). • Встраивание. Обычно разрешено: • JS <script src="..."></script> • CSS <style rel="stylesheet" href="..."> (требуют верного Content-type) • Картинки и медиа <img>, <video>, <audio> • Плагины <embed>, <object>, <applet> • Шрифты @font-face • Фреймы <iframe>, <frame> • Чтение. Обычно не разрешено
- JSONP (XSSI) • JSON with padding, Cross site script include • X-Content-Type-Options: nosniff
- Flash and MS Silverlight • crossdomain.xml и clientaccesspolicy.xml • *, *.example.com
- Modern CORS Same Origin Policy для XMLHttpRequest Origin: https://site1.com Web- APP Server – site1.com Server – site2.com Browser https://site1.com XMLHttp
- Modern CORS • Запросы • Origin: (https?|ftp)://example.com|null • Access-Control-Request-Method: <method> • Access-Control-Request-Headers: <field-name> ... • Ответы • Access-Control-Allow-Origin: <origin> | * • Access-Control-Allow-Credentials: true • Access-Control-Allow-Methods: <method> ... • Access-Control-Allow-Headers: <field-name> .... • Access-Control-Expose-Headers: X-Custom-Header • Access-Control-Max-Age: <delta-seconds>
- WebSockets • Не проверяется Origin по-умолчанию
- postMessage • Проверка Origin на разработчике • Уязвимый сайт в <iframe> — защита X- Frame-Options • Уязвимый сайт в поп-апе (window.open) — предупреждения от браузера • Можно использовать расширения хрома — OWASP London, доклад Арсения Реутова (https://raz0r.name/) https://goo.gl/MGrhN9
- Спасибо за внимание
- «В обратную сторону» • Заголовок Access-Control-Allow-Origin: * позволяет злоумышленнику встраивать содержимое