跨源资源共享配置不安全

medium Web App Scanning 插件 ID 98983

简介

跨源资源共享配置不安全

描述

跨源资源共享 (CORS) 是一种 HTML5 技术,现代 Web 浏览器可借此绕过同源策略实施的限制。

同源策略要求 JavaScript 和页面都从相同的域加载,才能允许 JavaScript 与页面交互。这反过来可以防止从外部域加载 JavaScript 时执行恶意 JavaScript。

CORS 策略可让应用程序为浏览器实施的安全措施指定例外情况,并支持开发人员指定允许执行并与页面进行交互的外部 JavaScript 的许可名单。

不安全的 CORS 配置可让任何网站利用用户凭据对目标应用程序触发请求并读取响应,从而使攻击者执行特权操作或检索潜在的敏感信息。

解决方案

应为应用程序配置一个许可名单,其中仅包含要执行 CORS 请求的特定受信任域。

另见

https://developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS

https://www.w3.org/TR/cors/#security

插件详情

严重性: Medium

ID: 98983

类型: remote

发布时间: 2020/3/6

最近更新时间: 2021/11/26

扫描模板: api, basic, full, pci, scan

风险信息

VPR

风险因素: Low

分数: 3.5

CVSS v2

风险因素: Medium

基本分数: 4.3

矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS 分数来源: Tenable

CVSS v3

风险因素: Medium

基本分数: 6.1

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

CVSS 分数来源: Tenable

CVSS v4

风险因素: Medium

Base Score: 5.1

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N

CVSS 分数来源: Tenable

参考资料信息