主页 / 网络安全学术论坛 / 端到端安全协议的威胁、演进和部署
  • 作者
    郑晓峰@360企业安全技术研究院
  • 简介

    出于安全的目的,Web浏览器的同源策略(Same Origin Policy)限制了跨域的网络资源访问。然而,开发者由于业务的需要许多时候必须访问跨域的资源。跨域资源共享CORS(Cross-Origin Resource Sharing)是目前解决跨域资源访问的最为正规的方案,也得到了所有主流浏览器、许多热门Web网站的支持。该报告发现CORS的设计、实现与现实网络中的配置都存在大量的安全问题。该报告对现实世界的CORS所做的大规模实证研究,发现攻击者利用CORS安全漏洞可以绕过防火墙攻击内网二进制服务、利用之前不可利用的CSRF漏洞和获取任意网站敏感的Cookie信息等。此外,还对Alex 排名5万的域名下的9千多万网站进行了大规模的测量,发现支持CORS的网站中有27.5%的网站存在配置安全风险,其中包括mail.rufedex.com、washingtonpost.com以及国内知名的网站和搜索引擎。最后,对CORS的设计和部署提出了改进建议以降低风险,并介绍开发的一个Web服务器CORS配置的漏洞扫描器。

  • 援引
    https://www.inforsec.org/wp/?p=3007
  • 提示
    本站仅做资料的整理和索引,转载引用请注明出处
附件下载
  • 端到端安全协议的威胁、演进和部署.pdf
    时间: 大小: 3.58 M 下载: 40