Advertisement
Ihor Bliumental - Collision CORS
Ihor Bliumental - Collision CORS
Ihor Bliumental - Collision CORS
Ihor Bliumental - Collision CORS
Ihor Bliumental - Collision CORS
Ihor Bliumental - Collision CORS
Ihor Bliumental - Collision CORS
Ihor Bliumental - Collision CORS
Ihor Bliumental - Collision CORS
Ihor Bliumental - Collision CORS
Ihor Bliumental - Collision CORS
Ihor Bliumental - Collision CORS

Check these out next

Иван Карев — Клиентская оптимизация
Иван Карев — Клиентская оптимизация
Yandex
Кухня создания PBN: От поиска доменов, сетапа сайтов, до тестов и простановки
Кухня создания PBN: От поиска доменов, сетапа сайтов, до тестов и простановки
NaZapad
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Yandex
А.Могильников "Специализированные облака", DUMP-2014
А.Могильников "Специализированные облака", DUMP-2014
it-people
Securing Rails Applications
Securing Rails Applications
Alexander Kirillov
Иван Карев — Клиентская оптимизация
Иван Карев — Клиентская оптимизация
Yandex
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Ontico
SEO-Friendly Websites
SEO-Friendly Websites
Elkaakle
1 of 12

Ihor Bliumental - Collision CORS

Sep. 11, 2017
Download to read offline
Technology

Slides from Unsafe CORS workshop by Ihor Bluimental at OWASP Kyiv Chapter Fall 2017 meetup. Follow Ihor on Twitter: https://twitter.com/igorblum

OWASP Kyiv
OWASP Kyiv
Advertisement
Advertisement
Advertisement

Recommended

Ihor Bliumental – Is There Life Outside OWASP Top-10Ihor Bliumental – Is There Life Outside OWASP Top-10
Ihor Bliumental – Is There Life Outside OWASP Top-10OWASP Kyiv656 views29 slides
Расширения для Safari: блокировщик контента в 50 строчек кода (Вадим Дробинин)Расширения для Safari: блокировщик контента в 50 строчек кода (Вадим Дробинин)
Расширения для Safari: блокировщик контента в 50 строчек кода (Вадим Дробинин)Vadim Drobinin484 views18 slides
Лечение мобильных, поисковых редиректов и дорвеев на сайте Лечение мобильных, поисковых редиректов и дорвеев на сайте
Лечение мобильных, поисковых редиректов и дорвеев на сайте revisium678 views46 slides
[ONSEC ]XSS vs waf[ONSEC ]XSS vs waf
[ONSEC ]XSS vs wafd0znp715 views19 slides
XSS. Обходы фильтров и защит.XSS. Обходы фильтров и защит.
XSS. Обходы фильтров и защит.Дмитрий Бумов1.6K views59 slides
KazHackStan - "><script>alert()</script>KazHackStan - "><script>alert()</script>
KazHackStan - "><script>alert()</script>Дмитрий Бумов565 views56 slides

More Related Content

Slideshows for you(19)

Иван Карев — Клиентская оптимизацияИван Карев — Клиентская оптимизация
Иван Карев — Клиентская оптимизация
Yandex1.3K views
Кухня создания PBN: От поиска доменов, сетапа сайтов, до тестов и простановкиКухня создания PBN: От поиска доменов, сетапа сайтов, до тестов и простановки
Кухня создания PBN: От поиска доменов, сетапа сайтов, до тестов и простановки
NaZapad90 views
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Yandex832 views
А.Могильников "Специализированные облака", DUMP-2014А.Могильников "Специализированные облака", DUMP-2014
А.Могильников "Специализированные облака", DUMP-2014
it-people647 views
Securing Rails ApplicationsSecuring Rails Applications
Securing Rails Applications
Alexander Kirillov400 views
Иван Карев — Клиентская оптимизацияИван Карев — Клиентская оптимизация
Иван Карев — Клиентская оптимизация
Yandex331 views
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Ontico466 views
SEO-Friendly WebsitesSEO-Friendly Websites
SEO-Friendly Websites
Elkaakle501 views
Скорость работы интернет магазинаСкорость работы интернет магазина
Скорость работы интернет магазина
Тарасов Константин421 views
Svyatoslav LoginSvyatoslav Login
Svyatoslav Login
Dakiry130 views
SQADays19 - 50 Слайдов для повышения безопасности вашего сервисаSQADays19 - 50 Слайдов для повышения безопасности вашего сервиса
SQADays19 - 50 Слайдов для повышения безопасности вашего сервиса
Konstantin Zavarov, ICP203 views
Клиентские приложения под нагрузкой (HighLoad 2014)Клиентские приложения под нагрузкой (HighLoad 2014)
Клиентские приложения под нагрузкой (HighLoad 2014)
Andrey Smirnov18K views
Waf.js: как защищать веб-приложения с использованием JavaScriptWaf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScript
Positive Hack Days1.3K views
Zabbix в Badoo или о чем не пишут в мануале, Илья Аблеев (Badoo)Zabbix в Badoo или о чем не пишут в мануале, Илья Аблеев (Badoo)
Zabbix в Badoo или о чем не пишут в мануале, Илья Аблеев (Badoo)
Badoo Development20.6K views
Не все базы данных одинаково полезныНе все базы данных одинаково полезны
Не все базы данных одинаково полезны
Sergey Xek988 views
Выступление Сергея Аверина, Badoo, на High Performance ConferenceВыступление Сергея Аверина, Badoo, на High Performance Conference
Выступление Сергея Аверина, Badoo, на High Performance Conference
EYevseyeva1.4K views
«Взломать за 60 секунд», Артем Кулаков, Redmadrobot«Взломать за 60 секунд», Артем Кулаков, Redmadrobot
«Взломать за 60 секунд», Артем Кулаков, Redmadrobot
Mail.ru Group6.9K views
Risspa domxssRisspa domxss
Risspa domxss
yaevents288 views
Alexei Sintsov - "Between error and vulerability - one step"Alexei Sintsov - "Between error and vulerability - one step"
Alexei Sintsov - "Between error and vulerability - one step"
Andrew Mayorov299 views

More from OWASP Kyiv(20)

Is there a penetration testing within PCI DSS certification? (Dmytro Diordiyc...Is there a penetration testing within PCI DSS certification? (Dmytro Diordiyc...
Is there a penetration testing within PCI DSS certification? (Dmytro Diordiyc...
OWASP Kyiv245 views
Software Supply Chain Security та компоненти з відомими вразливостямиSoftware Supply Chain Security та компоненти з відомими вразливостями
Software Supply Chain Security та компоненти з відомими вразливостями
OWASP Kyiv197 views
Cloud Security Hardening та аудит хмарної безпеки за допомогою Scout SuiteCloud Security Hardening та аудит хмарної безпеки за допомогою Scout Suite
Cloud Security Hardening та аудит хмарної безпеки за допомогою Scout Suite
OWASP Kyiv153 views
Threat Modeling with OWASP Threat DragonThreat Modeling with OWASP Threat Dragon
Threat Modeling with OWASP Threat Dragon
OWASP Kyiv590 views
Anastasia Vixentael - Don't Waste Time on Learning Cryptography: Better Use I...Anastasia Vixentael - Don't Waste Time on Learning Cryptography: Better Use I...
Anastasia Vixentael - Don't Waste Time on Learning Cryptography: Better Use I...
OWASP Kyiv693 views
Vlad Styran - Cyber Security Economics 101Vlad Styran - Cyber Security Economics 101
Vlad Styran - Cyber Security Economics 101
OWASP Kyiv466 views
Pavlo Radchuk - OWASP SAMM: Understanding Agile in SecurityPavlo Radchuk - OWASP SAMM: Understanding Agile in Security
Pavlo Radchuk - OWASP SAMM: Understanding Agile in Security
OWASP Kyiv2.4K views
Ivan Vyshnevskyi - Not So Quiet Git PushIvan Vyshnevskyi - Not So Quiet Git Push
Ivan Vyshnevskyi - Not So Quiet Git Push
OWASP Kyiv432 views
Dima Kovalenko - Modern SSL PinningDima Kovalenko - Modern SSL Pinning
Dima Kovalenko - Modern SSL Pinning
OWASP Kyiv524 views
Yevhen Teleshyk - OAuth PhishingYevhen Teleshyk - OAuth Phishing
Yevhen Teleshyk - OAuth Phishing
OWASP Kyiv362 views
Vlada Kulish - Why So Serial?Vlada Kulish - Why So Serial?
Vlada Kulish - Why So Serial?
OWASP Kyiv590 views
Vlad Styran - OWASP Kyiv 2017 Report and 2018 PlansVlad Styran - OWASP Kyiv 2017 Report and 2018 Plans
Vlad Styran - OWASP Kyiv 2017 Report and 2018 Plans
OWASP Kyiv344 views
Roman Borodin - ISC2 & ISACA Certification Programs First-hand ExperienceRoman Borodin - ISC2 & ISACA Certification Programs First-hand Experience
Roman Borodin - ISC2 & ISACA Certification Programs First-hand Experience
OWASP Kyiv815 views
Ihor Bliumental - WebSocketsIhor Bliumental - WebSockets
Ihor Bliumental - WebSockets
OWASP Kyiv343 views
Serhiy Korolenko - The Strength of Ukrainian Users’ P@ssw0rds2017Serhiy Korolenko - The Strength of Ukrainian Users’ P@ssw0rds2017
Serhiy Korolenko - The Strength of Ukrainian Users’ P@ssw0rds2017
OWASP Kyiv1.1K views
Viktor Zhora - Cyber and Geopolitics: Ukrainian factorViktor Zhora - Cyber and Geopolitics: Ukrainian factor
Viktor Zhora - Cyber and Geopolitics: Ukrainian factor
OWASP Kyiv647 views
Andriy Shalaenko - GO security tipsAndriy Shalaenko - GO security tips
Andriy Shalaenko - GO security tips
OWASP Kyiv1.5K views
Vlad Styran - "Hidden" Features of the Tools We All LoveVlad Styran - "Hidden" Features of the Tools We All Love
Vlad Styran - "Hidden" Features of the Tools We All Love
OWASP Kyiv636 views
Volodymyr Ilibman - Close Look at Nyetya InvestigationVolodymyr Ilibman - Close Look at Nyetya Investigation
Volodymyr Ilibman - Close Look at Nyetya Investigation
OWASP Kyiv412 views
Lidiia 'Alice' Skalytska - Security Checklist for Web DevelopersLidiia 'Alice' Skalytska - Security Checklist for Web Developers
Lidiia 'Alice' Skalytska - Security Checklist for Web Developers
OWASP Kyiv547 views
Advertisement

Recently uploaded(20)

1c66182f05bed6925520a585dab6bbfe.ppt1c66182f05bed6925520a585dab6bbfe.ppt
1c66182f05bed6925520a585dab6bbfe.ppt
ssuser48e9332 views
БИМПРО - внедрение BIM-технологий в строительствоБИМПРО - внедрение BIM-технологий в строительство
БИМПРО - внедрение BIM-технологий в строительство
ElleCarinel16 views
iCAM Group.pdfiCAM Group.pdf
iCAM Group.pdf
SergeArie6 views
Существующие технологии стежка типа 401 и их недостатки.pdfСуществующие технологии стежка типа 401 и их недостатки.pdf
Существующие технологии стежка типа 401 и их недостатки.pdf
Zarif Tadjibaev7 views
слесарь по технической сборке трубопроводов.pptxслесарь по технической сборке трубопроводов.pptx
слесарь по технической сборке трубопроводов.pptx
Grimlock1012 views
Диспергаторы для печатных красок.pptДиспергаторы для печатных красок.ppt
Диспергаторы для печатных красок.ppt
AbdulahadToshkhojaye5 views
ПРЕИМУЩЕСТВА И НЕДОСТАТКИ 301 И 401.pdfПРЕИМУЩЕСТВА И НЕДОСТАТКИ 301 И 401.pdf
ПРЕИМУЩЕСТВА И НЕДОСТАТКИ 301 И 401.pdf
Zarif Tadjibaev7 views
Java Core.docxJava Core.docx
Java Core.docx
VolodymyrBurmus3 views
Существующие технологии стежка типа 301 и их недостатки.pdfСуществующие технологии стежка типа 301 и их недостатки.pdf
Существующие технологии стежка типа 301 и их недостатки.pdf
Zarif Tadjibaev8 views
Новый система.pdfНовый система.pdf
Новый система.pdf
GOLDENSTARPICTURES13 views
Madi_pres.pptxMadi_pres.pptx
Madi_pres.pptx
Nurbek818 views
c毕业证硕士c毕业证硕士
c毕业证硕士
oapvbb2 views
Аэрофотосъемка.pptАэрофотосъемка.ppt
Аэрофотосъемка.ppt
SerikZhumatayev4 views
Анализ ссылочной массыАнализ ссылочной массы
Анализ ссылочной массы
Illia Cherepynets6 views
Лекция 1_ РЭС_Презентация — копия.pptxЛекция 1_ РЭС_Презентация — копия.pptx
Лекция 1_ РЭС_Презентация — копия.pptx
AssemNazirova213 views
Презентация.pptxПрезентация.pptx
Презентация.pptx
ssuser29ec503 views
What is Driving Organizations' Cloud Adoption?What is Driving Organizations' Cloud Adoption?
What is Driving Organizations' Cloud Adoption?
Inovar Tech14 views
самост.pptxсамост.pptx
самост.pptx
ssuserace8553 views
презентация Оператор крана управляемого с пола.pptxпрезентация Оператор крана управляемого с пола.pptx
презентация Оператор крана управляемого с пола.pptx
Grimlock1033 views
Текст.pptxТекст.pptx
Текст.pptx
TalgatAmantaev32 views

Ihor Bliumental - Collision CORS

  1. Ihor Bliumental OWASP Kyiv Chapter Lead ihor.bliumental@owasp.org Unsafe Cross Origin Resource Sharing
  2. Same Origin Policy (SOP) • Origin: https://example.com:8433 • http://example.com:8443 • https://www.example.com:8443 • https://example.com:443 • https://www.example.org:8443
  3. Репозиторий и ссылки • https://goo.gl/63ZGwt
  4. Cross Origin Access • Запись. Обычно разрешена (ссылки, перенаправления, формы). • Встраивание. Обычно разрешено: • JS <script src="..."></script> • CSS <style rel="stylesheet" href="..."> (требуют верного Content-type) • Картинки и медиа <img>, <video>, <audio> • Плагины <embed>, <object>, <applet> • Шрифты @font-face • Фреймы <iframe>, <frame> • Чтение. Обычно не разрешено
  5. JSONP (XSSI) • JSON with padding, Cross site script include • X-Content-Type-Options: nosniff
  6. Flash and MS Silverlight • crossdomain.xml и clientaccesspolicy.xml • *, *.example.com
  7. Modern CORS Same Origin Policy для XMLHttpRequest Origin: https://site1.com Web-
 APP Server – site1.com Server – site2.com Browser https://site1.com XMLHttp
  8. Modern CORS • Запросы • Origin: (https?|ftp)://example.com|null • Access-Control-Request-Method: <method> • Access-Control-Request-Headers: <field-name> ... • Ответы • Access-Control-Allow-Origin: <origin> | * • Access-Control-Allow-Credentials: true • Access-Control-Allow-Methods: <method> ... • Access-Control-Allow-Headers: <field-name> .... • Access-Control-Expose-Headers: X-Custom-Header • Access-Control-Max-Age: <delta-seconds>
  9. WebSockets • Не проверяется Origin по-умолчанию
  10. postMessage • Проверка Origin на разработчике • Уязвимый сайт в <iframe> — защита X- Frame-Options • Уязвимый сайт в поп-апе (window.open) — предупреждения от браузера • Можно использовать расширения хрома — OWASP London, доклад Арсения Реутова (https://raz0r.name/) https://goo.gl/MGrhN9
  11. Спасибо за внимание
  12. «В обратную сторону» • Заголовок Access-Control-Allow-Origin: * позволяет злоумышленнику встраивать содержимое
Advertisement