ddos高防_云盾网登录_免费测试

ddos高防_云盾网登录_免费测试

Cross-Origin Resource Sharing(CORS)是一种机制,它使用HTTP报头告诉浏览器,在一个源运行的web应用程序有权从另一个源服务器访问选定的资源。此功能适用于应用程序开发人员有意忽略同一源策略(SOP)的情况,防御ddos防火墙,该策略缓解了许多针对浏览器的常见攻击(特别是跨站点脚本)。这使得它成为部署在我们日益分散的互联网上的应用程序的强大工具,同时也是潜在的漏洞来源背景:什么是同源政策?同源策略是一种缓和控制,它限制来自一个源的脚本或其他资源如何与来自第三方的资源交互跨源请求的一些示例包括:另一个领域(example.com网站到测试网站)不同的子域(example.com网站到test.example.com网站)另一个港口(example.com网站到example.com:8080)不同的协议(https://example.com到)同源策略缓解了一些常见的web应用程序攻击,是现代web上保护用户和应用程序的关键工具。更多详细信息请访问Mozilla开发者网络。CORS是如何工作的?有两个头主要管理cor:Access Control Allow Origin和Access Control Allow Credentials。当脚本来自foo.com网站想向酒吧网,浏览器向发送飞行前请求酒吧网与foo.com网站在原始标头中。这是浏览器请求资源与请求站点交互的权限的方式。上的服务酒吧网如果域与允许的源匹配,则将返回访问控制Allow Origin响应头。只有当域与托管脚本的域匹配时,高防cdn设备,浏览器才会发送HTTP请求。Access Control Allow Origin标头接受各种来源:域和子域(, https://example.com)通配符(*)"Null""Null"原点的情况很有趣,可能会导致一些我们在本文中没有探讨的错误配置。"Null"是默认分配给许多文档、沙盒代码和重定向的源。虽然这很有用,但它可能会打开应用程序进行攻击。Mozilla Developer Network和w3c指定不应使用空原点。关于这个漏洞的更多细节可以在Portswigger关于这个主题的博客中找到。访问控制允许凭据是一个布尔值-也就是说,它只能是True或False。如果我们的应用程序需要对用户进行身份验证才能使用它,并且该应用程序代表该登录用户发出CORS请求,那么我们需要访问控制允许凭据为true。如果我们正在访问的资源并不绝对要求将用户的凭据传递给跨域资源,则应将其设置为False在某些情况下,您可能希望绕过同源策略来共享来自CDN、S3存储桶或本地服务器的内容。如果您在S3中托管您的网站,但希望使用JavaScript,通过使用amazons3api端点对同一个bucket发出经过身份验证的GET和PUT请求铲斗。装载一张网字体。正在加载其他人的动态内容网页制作对on-prem服务器的经过身份验证的GET请求。如果要允许任何域发出跨源请求,则可以使用设置"访问控制""允许来源":*不幸的是,根据CORS规范-如果ACAO头中有通配符,那么Access Control Allow Credentials不能为true。虽然您可能认为维护一个允许的来源列表是有意义的,但事实证明CORS策略也不能接受一个列表!因此,为了允许通过CORS请求传递凭证,必须处理来源并确保其有效。正如我们将要解释的,当开发人员不小心的时候,这是一个灾难的配方。云中的CORS除了部署在支持HTTP的IaaS环境中的任何VM都可以启用CORS之外,许多单独的服务都支持CORS,包括:Azure函数sazure逻辑AppsAzure Blob存储google云函数google云存储google云端点samazon lambdamazon S3Amazon API网关显然,这是一个广泛使用的功能,并且经常被web开发人员使用。随着基础设施的发展和成熟,CORS很可能在您的云基础设施中得到使用。对于Lambda和API网关,Amazon提供了以下指导:"要为代理集成启用跨源资源共享(CORS),必须将访问控制允许源:添加到输出标头中。可以是*表示任何域名。"如上所述,只要不需要"访问控制允许凭据"字段为true,这个方法就可以非常好地工作。如果需要凭据,则需要处理用户提供的源。如果您以前从未部署过CORS,并通过Internet获取模板,那么您可能会使用许多代码示例中的一个,服务器防御ccddos,这些示例只反映了源代码,而没有提供有关确保CORS安全部署的具体说明。实际上,最安全的配置是由开发人员维护的硬编码的允许列表。然而,正如下面讨论的,即使这样也不能阻止CORS打开一个可利用的漏洞。利用错误配置如上所述,最常见的错误配置之一是在服务器响应中反映用户提供的源站标头,从而有效地允许来自任何来源的请求。作为一个示例,考虑AWS Lambda和API网关无服务器架构,其中Lambda访问DynamoDB实例中存储的数据。如果要在ACAO头中包含多个域(例如,您有多个子域需要访问API),则需要编写Lambda来处理头。请注意,虽然我们在这里使用AWS和Amazon服务作为示例,但是在Azure和GCP中,同样的架构也可能会出现这些相同类型的漏洞。在Azure案例中,这个架构将由Azure应用程序网关、Azure函数和cosmsdb组成。在GCP中,相应的服务将是云端点、Google云函数和BigTable。图1:支持CORS的简单API网关架构现在在这个例子中,我们可以看到对API网关的请求将触发生成CORS头的lambda。正如我们在这个错误配置中提到的–lambda只是反映用户提供的源代码,然后将该请求传递给第二个lambda,通过API网关进行数据库查询。这个数据库可以包含您可能通过API访问的任何类型的信息,但不想向世界公开(例如客户记录、API密钥等)这意味着攻击者需要做的就是让一个不知情但经过授权的用户从他们的域中代表他们发出请求。这可以通过多种方法实现:脚本注入、网络钓鱼或用户可能无意中导航到攻击者控制的资源的任何其他方式。当受害者导航到攻击者控制的资源时,攻击者的来源会使用授权用户的凭据发出敏感请求,CORS允许这种情况发生,并将敏感数据返回给攻击者。CORS错误配置的影响被利用的错误配置示例:美国国防部的一个网站在CORS中有一个不正确的访问控制,使得攻击者能够窃取用户会话。比特币交易所有一个漏洞,可以窃取用户的私人API密钥,允许他们的所有BTC被转移到任意地址。这些漏洞和其他类似漏洞强调了验证CORS配置是否正确的必要性。这意味着您不仅要反映浏览器提供的源代码,还要维护一个准确、最新的允许列表XSS咖啡里的奶油(作者注:如果你个人喜欢咖啡里的奶油,这并不重要。这只是一个委婉的说法。我个人喜欢一杯美式葡萄酒,加一点奶油和三杯金碧。)使用CORS信任关系,我们甚至可以使用正确配置的环境,使一个站点上的跨站点脚本漏洞的破坏性更大。如果通过CORS信任的页面上存在XSS漏洞,攻击者可以从信任该易受攻击页面的站点检索敏感信息在这个场景中,我们将使用与上面相同的API网关配置,但是假设它确实正确地执行CORS源代码检查-也就是说,它查找一个有效的子域,并且只有当用户经过身份验证并且请求来自精确白名单上的子域时才会返回图2:API网关架构的支持CORS的S3前端在这个场景中,没有CORS配置错误,而是S3 Bucket上的页面容易受到跨站点脚本的攻击。在这种情况下,攻击者利用该跨站点脚本漏洞,美国高防cdn多久生效,转而注入从数据库检索信息的JavaScript。所有这些都是因为API网关和数据库信任存储桶中托管的网站Burp Suite的制造商Portswigger在非云环境中详细介绍了这些攻击和更多攻击尽管这些都是假设性的例子,但了解CORS安全性是关键,因为跨域请求在云中比在本地系统中更常见,因此存在和利用此类漏洞的机会更多。那么,ddos防御成本为何那么高,我们如何应对针对支持CORS的云应用程序的攻击呢?思考ATT&CK下的CORSMITRE ATT&CK框架提供了一种有用的方法来查看cor的位置,无论是配置的更正,还是用于利用信任关系或m

热门推荐
  • cc防护_如何防cc_超稳定

      看看2013年IT行业的任何一组预测,你很可能会发现,云计算和移动计算的采用是巨大的,而且越来越大。SailPoint希望更好地了......

    08-30    来源:长虹华伟

    分享
  • 国内高防cdn_服务器托管高防_指南

      在之前的博客文章中,我们讨论了工作场所中移动设备的激增以及这给管理访问带来的挑战。随着对云应用程序的移动访问和......

    09-03    来源:长虹华伟

    分享
  • 阿里云高防ip_防cc脚本一键安装_零元试用

      正如您在这里多次听到我们讨论的,密码并没有死。事实上,远没有。然而,我们面临的挑战是,在大多数组织的普通员工中......

    09-15    来源:长虹华伟

    分享
  • 阿里云高防ip_国内高防空间_新用户优惠

      下次当您听到身份解决方案供应商吹嘘连接到电子健康记录(EHR)系统的其他临床应用程序时,请检查一下。如何实现这种互......

    10-01    来源:长虹华伟

    分享
  • 服务器防护_神武高防宝宝_限时优惠

      又是一个星期过去了,还有很多头条新闻要报道。尽管我们每天都在监视网络犯罪分子,但当他们达到一个新的低点时,我们......

    10-01    来源:长虹华伟

    分享
  • 高防ip_同盾风控云_怎么防

      这一集是关于感恩的。大卫·李和迈克·基瑟讲述了他们的祝福,以及在这个(以美国为中心的)假期里,整个安全界必须感......

    10-01    来源:长虹华伟

    分享
  • cc攻击防御_高防机房_新用户优惠

      我在通信领域工作了很长时间,这些年来我目睹了许多重大变化。一些想法,如IP电话,已经彻底改变了这个行业。另一些人......

    10-26    来源:长虹华伟

    分享
  • 高防ddos_文老爷子防三高的视频_精准

      从迷宫勒索软件的剧本中提取一页,DoppelPaymer的创造者不仅仅是加密你的数据;如果你不付钱,他们已经找到了销售渠道。早......

    10-27    来源:长虹华伟

    分享
  • 免备案高防cdn_cdn防御直播室_打不死

      《华尔街日报》:Shark Tank的Robert Herjavec表示,复杂性将推动安全领域更专业化的发展2018年6月1日https://www.herjavecgroup.com/wp-c......

    10-27    来源:长虹华伟

    分享
  • 高防_高防中转ip_免费测试

      网络抢劫新闻第10卷#09一家美国天然气运营商在一次网络钓鱼攻击感染了Ars Technica的勒索软件Dan Goodin后关闭了两天,该运营商......

    10-27    来源:长虹华伟

    分享
返回列表
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。