OWASP Kyiv, profile picture
Uploaded byOWASP Kyiv
376 views

Ihor Bliumental - Collision CORS

Документ обсуждает уязвимости, связанные с кросс-доменным доступом и политикой того же происхождения (SOP). Рассматриваются методы разрешения и запрета доступа к ресурсам через различные заголовки CORS, а также потенциальные угрозы, связанные с неконтролируемым доступом. Предоставлены ссылки на дополнительные ресурсы и примеры использования.

Technology
Related topics:
Software Security

Embed presentation

Download to read offline
Ihor Bliumental OWASP Kyiv Chapter Lead ihor.bliumental@owasp.org Unsafe Cross Origin Resource Sharing
Same Origin Policy (SOP) • Origin: https://example.com:8433 • http://example.com:8443 • https://www.example.com:8443 • https://example.com:443 • https://www.example.org:8443
Репозиторий и ссылки • https://goo.gl/63ZGwt
Cross Origin Access • Запись. Обычно разрешена (ссылки, перенаправления, формы). • Встраивание. Обычно разрешено: • JS <script src="..."></script> • CSS <style rel="stylesheet" href="..."> (требуют верного Content-type) • Картинки и медиа <img>, <video>, <audio> • Плагины <embed>, <object>, <applet> • Шрифты @font-face • Фреймы <iframe>, <frame> • Чтение. Обычно не разрешено
JSONP (XSSI) • JSON with padding, Cross site script include • X-Content-Type-Options: nosniff
Flash and MS Silverlight • crossdomain.xml и clientaccesspolicy.xml • *, *.example.com
Modern CORS Same Origin Policy для XMLHttpRequest Origin: https://site1.com Web-
 APP Server – site1.com Server – site2.com Browser https://site1.com XMLHttp
Modern CORS • Запросы • Origin: (https?|ftp)://example.com|null • Access-Control-Request-Method: <method> • Access-Control-Request-Headers: <field-name> ... • Ответы • Access-Control-Allow-Origin: <origin> | * • Access-Control-Allow-Credentials: true • Access-Control-Allow-Methods: <method> ... • Access-Control-Allow-Headers: <field-name> .... • Access-Control-Expose-Headers: X-Custom-Header • Access-Control-Max-Age: <delta-seconds>
WebSockets • Не проверяется Origin по-умолчанию
postMessage • Проверка Origin на разработчике • Уязвимый сайт в <iframe> — защита X- Frame-Options • Уязвимый сайт в поп-апе (window.open) — предупреждения от браузера • Можно использовать расширения хрома — OWASP London, доклад Арсения Реутова (https://raz0r.name/) https://goo.gl/MGrhN9
Спасибо за внимание
«В обратную сторону» • Заголовок Access-Control-Allow-Origin: * позволяет злоумышленнику встраивать содержимое

More Related Content

PDF
Ihor Bliumental – Is There Life Outside OWASP Top-10
byOWASP Kyiv
 
PDF
Расширения для Safari: блокировщик контента в 50 строчек кода (Вадим Дробинин)
byVadim Drobinin
 
PPT
Лечение мобильных, поисковых редиректов и дорвеев на сайте
byrevisium
 
PDF
[ONSEC ]XSS vs waf
byd0znp
 
PPTX
XSS. Обходы фильтров и защит.
byДмитрий Бумов
 
PPTX
KazHackStan - "><script>alert()</script>
byДмитрий Бумов
 
PPTX
Seo 2016
bysslash65
 
PPTX
А не поговорить ли нам о XSS!
bySQALab
 
Ihor Bliumental – Is There Life Outside OWASP Top-10
byOWASP Kyiv
 
Расширения для Safari: блокировщик контента в 50 строчек кода (Вадим Дробинин)
byVadim Drobinin
 
Лечение мобильных, поисковых редиректов и дорвеев на сайте
byrevisium
 
[ONSEC ]XSS vs waf
byd0znp
 
XSS. Обходы фильтров и защит.
byДмитрий Бумов
 
KazHackStan - "><script>alert()</script>
byДмитрий Бумов
 
Seo 2016
bysslash65
 
А не поговорить ли нам о XSS!
bySQALab
 

What's hot

PDF
Иван Карев — Клиентская оптимизация
byYandex
 
PDF
Кухня создания PBN: От поиска доменов, сетапа сайтов, до тестов и простановки
byNaZapad
 
PDF
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
byYandex
 
ODP
А.Могильников "Специализированные облака", DUMP-2014
byit-people
 
KEY
Securing Rails Applications
byAlexander Kirillov
 
PDF
Иван Карев — Клиентская оптимизация
byYandex
 
PDF
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
byOntico
 
PPTX
SEO-Friendly Websites
byElkaakle
 
PDF
Скорость работы интернет магазина
byТарасов Константин
 
PPTX
Svyatoslav Login
byDakiry
 
PPTX
SQADays19 - 50 Слайдов для повышения безопасности вашего сервиса
byKonstantin Zavarov, ICP
 
PDF
Клиентские приложения под нагрузкой (HighLoad 2014)
byAndrey Smirnov
 
PPTX
Waf.js: как защищать веб-приложения с использованием JavaScript
byPositive Hack Days
 
PDF
Zabbix в Badoo или о чем не пишут в мануале, Илья Аблеев (Badoo)
byBadoo Development
 
PDF
Не все базы данных одинаково полезны
bySergey Xek
 
PDF
Выступление Сергея Аверина, Badoo, на High Performance Conference
byEYevseyeva
 
PDF
«Взломать за 60 секунд», Артем Кулаков, Redmadrobot
byMail.ru Group
 
PDF
Risspa domxss
byyaevents
 
PPTX
Alexei Sintsov - "Between error and vulerability - one step"
byAndrew Mayorov
 
Иван Карев — Клиентская оптимизация
byYandex
 
Кухня создания PBN: От поиска доменов, сетапа сайтов, до тестов и простановки
byNaZapad
 
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
byYandex
 
А.Могильников "Специализированные облака", DUMP-2014
byit-people
 
Securing Rails Applications
byAlexander Kirillov
 
Иван Карев — Клиентская оптимизация
byYandex
 
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
byOntico
 
SEO-Friendly Websites
byElkaakle
 
Скорость работы интернет магазина
byТарасов Константин
 
Svyatoslav Login
byDakiry
 
SQADays19 - 50 Слайдов для повышения безопасности вашего сервиса
byKonstantin Zavarov, ICP
 
Клиентские приложения под нагрузкой (HighLoad 2014)
byAndrey Smirnov
 
Waf.js: как защищать веб-приложения с использованием JavaScript
byPositive Hack Days
 
Zabbix в Badoo или о чем не пишут в мануале, Илья Аблеев (Badoo)
byBadoo Development
 
Не все базы данных одинаково полезны
bySergey Xek
 
Выступление Сергея Аверина, Badoo, на High Performance Conference
byEYevseyeva
 
«Взломать за 60 секунд», Артем Кулаков, Redmadrobot
byMail.ru Group
 
Risspa domxss
byyaevents
 
Alexei Sintsov - "Between error and vulerability - one step"
byAndrew Mayorov
 

More from OWASP Kyiv

PDF
Is there a penetration testing within PCI DSS certification? (Dmytro Diordiyc...
byOWASP Kyiv
 
PPTX
Software Supply Chain Security та компоненти з відомими вразливостями
byOWASP Kyiv
 
PPTX
Cloud Security Hardening та аудит хмарної безпеки за допомогою Scout Suite
byOWASP Kyiv
 
PDF
Threat Modeling with OWASP Threat Dragon
byOWASP Kyiv
 
PDF
Anastasia Vixentael - Don't Waste Time on Learning Cryptography: Better Use I...
byOWASP Kyiv
 
PDF
Vlad Styran - Cyber Security Economics 101
byOWASP Kyiv
 
PDF
Pavlo Radchuk - OWASP SAMM: Understanding Agile in Security
byOWASP Kyiv
 
PDF
Ivan Vyshnevskyi - Not So Quiet Git Push
byOWASP Kyiv
 
PDF
Dima Kovalenko - Modern SSL Pinning
byOWASP Kyiv
 
PDF
Yevhen Teleshyk - OAuth Phishing
byOWASP Kyiv
 
PDF
Vlada Kulish - Why So Serial?
byOWASP Kyiv
 
PDF
Vlad Styran - OWASP Kyiv 2017 Report and 2018 Plans
byOWASP Kyiv
 
PDF
Roman Borodin - ISC2 & ISACA Certification Programs First-hand Experience
byOWASP Kyiv
 
PDF
Ihor Bliumental - WebSockets
byOWASP Kyiv
 
PPTX
Serhiy Korolenko - The Strength of Ukrainian Users’ P@ssw0rds2017
byOWASP Kyiv
 
PDF
Viktor Zhora - Cyber and Geopolitics: Ukrainian factor
byOWASP Kyiv
 
PPTX
Andriy Shalaenko - GO security tips
byOWASP Kyiv
 
PPTX
Vlad Styran - "Hidden" Features of the Tools We All Love
byOWASP Kyiv
 
PDF
Volodymyr Ilibman - Close Look at Nyetya Investigation
byOWASP Kyiv
 
PPTX
Lidiia 'Alice' Skalytska - Security Checklist for Web Developers
byOWASP Kyiv
 
Is there a penetration testing within PCI DSS certification? (Dmytro Diordiyc...
byOWASP Kyiv
 
Software Supply Chain Security та компоненти з відомими вразливостями
byOWASP Kyiv
 
Cloud Security Hardening та аудит хмарної безпеки за допомогою Scout Suite
byOWASP Kyiv
 
Threat Modeling with OWASP Threat Dragon
byOWASP Kyiv
 
Anastasia Vixentael - Don't Waste Time on Learning Cryptography: Better Use I...
byOWASP Kyiv
 
Vlad Styran - Cyber Security Economics 101
byOWASP Kyiv
 
Pavlo Radchuk - OWASP SAMM: Understanding Agile in Security
byOWASP Kyiv
 
Ivan Vyshnevskyi - Not So Quiet Git Push
byOWASP Kyiv
 
Dima Kovalenko - Modern SSL Pinning
byOWASP Kyiv
 
Yevhen Teleshyk - OAuth Phishing
byOWASP Kyiv
 
Vlada Kulish - Why So Serial?
byOWASP Kyiv
 
Vlad Styran - OWASP Kyiv 2017 Report and 2018 Plans
byOWASP Kyiv
 
Roman Borodin - ISC2 & ISACA Certification Programs First-hand Experience
byOWASP Kyiv
 
Ihor Bliumental - WebSockets
byOWASP Kyiv
 
Serhiy Korolenko - The Strength of Ukrainian Users’ P@ssw0rds2017
byOWASP Kyiv
 
Viktor Zhora - Cyber and Geopolitics: Ukrainian factor
byOWASP Kyiv
 
Andriy Shalaenko - GO security tips
byOWASP Kyiv
 
Vlad Styran - "Hidden" Features of the Tools We All Love
byOWASP Kyiv
 
Volodymyr Ilibman - Close Look at Nyetya Investigation
byOWASP Kyiv
 
Lidiia 'Alice' Skalytska - Security Checklist for Web Developers
byOWASP Kyiv
 

Ihor Bliumental - Collision CORS

  • 1.
    Ihor Bliumental OWASP KyivChapter Lead ihor.bliumental@owasp.org Unsafe Cross Origin Resource Sharing
  • 2.
    Same Origin Policy(SOP) • Origin: https://example.com:8433 • http://example.com:8443 • https://www.example.com:8443 • https://example.com:443 • https://www.example.org:8443
  • 3.
  • 4.
    Cross Origin Access •Запись. Обычно разрешена (ссылки, перенаправления, формы). • Встраивание. Обычно разрешено: • JS <script src="..."></script> • CSS <style rel="stylesheet" href="..."> (требуют верного Content-type) • Картинки и медиа <img>, <video>, <audio> • Плагины <embed>, <object>, <applet> • Шрифты @font-face • Фреймы <iframe>, <frame> • Чтение. Обычно не разрешено
  • 5.
    JSONP (XSSI) • JSONwith padding, Cross site script include • X-Content-Type-Options: nosniff
  • 6.
    Flash and MSSilverlight • crossdomain.xml и clientaccesspolicy.xml • *, *.example.com
  • 7.
    Modern CORS Same OriginPolicy для XMLHttpRequest Origin: https://site1.com Web-
 APP Server – site1.com Server – site2.com Browser https://site1.com XMLHttp
  • 8.
    Modern CORS • Запросы •Origin: (https?|ftp)://example.com|null • Access-Control-Request-Method: <method> • Access-Control-Request-Headers: <field-name> ... • Ответы • Access-Control-Allow-Origin: <origin> | * • Access-Control-Allow-Credentials: true • Access-Control-Allow-Methods: <method> ... • Access-Control-Allow-Headers: <field-name> .... • Access-Control-Expose-Headers: X-Custom-Header • Access-Control-Max-Age: <delta-seconds>
  • 9.
    WebSockets • Не проверяетсяOrigin по-умолчанию
  • 10.
    postMessage • Проверка Originна разработчике • Уязвимый сайт в <iframe> — защита X- Frame-Options • Уязвимый сайт в поп-апе (window.open) — предупреждения от браузера • Можно использовать расширения хрома — OWASP London, доклад Арсения Реутова (https://raz0r.name/) https://goo.gl/MGrhN9
  • 11.
  • 12.
    «В обратную сторону» •Заголовок Access-Control-Allow-Origin: * позволяет злоумышленнику встраивать содержимое