漏洞分析 | CORS-anywhere :第三方软件配置错误的危险
区块链浏览器中的跨域请求来自何处?为什么我们需要处理它?
拒绝服务(Denial of Service)
IP地址欺骗
SSRF(服务器端请求伪造)
利用SSRF漏洞的常见方法
在内部网络中执行端口扫描和网络侦察
将请求发送到内部服务器的API
访问内部网络中的敏感资源
必须通过PUT请求获取通证,而大多数SSRF攻击仅支持GET和POST方法。
PUT请求包含一个HTTP标头“X-aws-ec2-metadata-token-ttl-seconds”。在SSRF攻击中,攻击者通常无法在请求中插入其他HTTP标头。
针对IMDSv1的利用:
针对IMDSv2的利用:
在config / config.toml配置文件中为“ cors_allowed_origins”指定允许的值。
在相同的主机名下配置应用程序和RPC API。
将Nginx反向代理放置在节点(链)服务器的前面,以将CORS标头插入HTTP响应中
使用WebSocket而不是HTTP与RPC API进行通信。
参考文献
https://github.com/Rob--W/cors-anywhere/issues/152
https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS
https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/
https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/iam-instanceprofile.html
https://cosmos.network/rpc/v0.37.9
https://www.shodan.io/
https://www.zoomeye.org/
https://portswigger.net/web-security/ssrf
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html
https://github.com/Azure/WALinuxAgent/wiki/VMs-without-WALinuxAgent
https://cloud.google.com/kubernetes-engine/docs/how-to/workload-identity
了解更多
General Information: info@certik.org
Audit & Partnerships: bd@certik.org
Website: certik.org
Twitter: @certik.org
Telegram: t.me/certik.org
Medium:medium.com/certik
币乎:bihu.com/people/1093109
往期回顾
从恃力者暴乱,到恃德者遵循的信仰
一周业内播报 | 勒索软件、DDoS、盗币成为本周关键词;福布斯成员预测加密领域新趋势