Bezpieczeństwo w CORS: Jak ataki mogą ominąć zabezpieczenia?

Bezpieczeństwo w CORS: Jak ataki mogą ominąć zabezpieczenia?

2018-12-19 11:55 Redakcja

CORS (Cross-Origin Resource Sharing) to mechanizm, który pozwala na kontrolę dostępu do zasobów z różnych źródeł. W praktyce, jednak jego niewłaściwe zaimplementowanie może prowadzić do poważnych luk w bezpieczeństwie.

Atakujący, rejestrując domenę na przykład definitelynotexample.com, może ominąć zabezpieczenia, co zdarza się w praktyce. Warto pamiętać, że takie sytuacje mogą występować także przy użyciu wyrażeń regularnych (RegExp), które również mogą zawierać błędy.

Przykładem jest RegExp https://mail.google.com. Choć wydaje się on bezpieczny, kropka oznacza dowolny znak, co pozwala na przejście testu przez takie domeny jak http://mail1google.com czy http://mailxgoogle.com.

Innym problemem jest błędne założenie programisty, że niektóre znaki nigdy nie pojawią się w Originie. Mimo że przeglądarki zazwyczaj ograniczają możliwości ataku, warto być świadomym potencjalnych zagrożeń.

Najnowsze wiadomosci ⚡📰

Nie przegap żadnego trendu, hacka ani dramy w świecie marketingu! 🧠
Mamy już ponad 155 000 artykułów i codziennie dorzucamy 50–100 nowych perełek z SEO, PR, social mediów, reklam, AI i brandingu. Do tego wywiady, nowe narzędzia pozwalające dowieźć wyniki i nutka prawa oraz bezpieczeństwa. Wszystko podane w starupowym sosie, który nigdy sie nie nudzi.
Zapisz się teraz, a Twoja skrzynka stanie się potężniejsza niż raporty z Analyticsa.