• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

CORS - jak to działa serwer-serwer

VPS Starter Arubacloud
+1 głos
197 wizyt
pytanie zadane 22 czerwca 2018 w Sieci komputerowe, internet przez Przemek Zembrzuski Gaduła (3,240 p.)
Witam,

Próbuje zrozumieć zasadę działania CORS i o ile wiem jak to wszystko działa jako klient-serwer to nie bardzo mogę zrozumieć czemu już błędu nie ma gdy wykonujemy zapytanie serwer-serwer. Biorąc pod uwagę np. wykradanie cookie/sesji to czy nie nie byłoby możliwe, że  gdy użytkownik otwiera złośliwą stronę i wtedy wykradane są mu cookie/sesje i przesyłane do serwera a ten by już wszystko zrobił czyli atak ?

2 odpowiedzi

+1 głos
odpowiedź 22 czerwca 2018 przez Comandeer Guru (599,730 p.)
wybrane 22 czerwca 2018 przez Przemek Zembrzuski
 
Najlepsza

Jeśli chodzi o proponowany atak: żeby wykraść cookie po stronie przeglądarki, muszą one być dostępne z poziomu JS. Odpowiednie przygotowanie ciastek (HTTPS only + Same-Site) de facto eliminują możliwość odczytania ich po stronie JS. Dodatkowo można kontrolować, czy cookies są wysyłane dla żądań CORS--owych. Do tego dochodzi samo zabezpieczenie sesji przez choćby regenerowanie przy każdym żądaniu id sesji i sprawdzanie jej spójności (IP usera, przeglądarka itp. itd.). Takie ataki są wbrew pozorom trudne do przeprowadzenia dla dobrze zabezpieczonych stron WWW.

A co do CORS na poziomie serwer-serwer: nie miałoby to sensu, bo CORS to zabezpieczenie wynikające z modelu Same Origin. A ten na serwerze nie miałby racji bytu.

0 głosów
odpowiedź 22 czerwca 2018 przez Ehlert Ekspert (212,630 p.)
Cors jest implementowany w przeglądarkach. Nie musisz się o niego martwić przy requestach Klient-serwer, gdy klient to cURL, Android itp., lub serwer-serwer.

Co do pomysłu na atak, to opisz go dokładniej.

Podobne pytania

+1 głos
0 odpowiedzi 439 wizyt
pytanie zadane 31 lipca 2020 w JavaScript przez niffe33 Nowicjusz (150 p.)
+1 głos
0 odpowiedzi 659 wizyt
pytanie zadane 23 sierpnia 2020 w PHP przez Greeenone Pasjonat (16,100 p.)

92,454 zapytań

141,262 odpowiedzi

319,089 komentarzy

61,854 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj.

Akademia Sekuraka

Akademia Sekuraka 2024 zapewnia dostęp do minimum 15 szkoleń online z bezpieczeństwa IT oraz dostęp także do materiałów z edycji Sekurak Academy z roku 2023!

Przy zakupie możecie skorzystać z kodu: pasja-akademia - użyjcie go w koszyku, a uzyskacie rabat -30% na bilety w wersji "Standard"! Więcej informacji na temat akademii 2024 znajdziecie tutaj. Dziękujemy ekipie Sekuraka za taką fajną zniżkę dla wszystkich Pasjonatów!

Akademia Sekuraka

Niedawno wystartował dodruk tej świetnej, rozchwytywanej książki (około 940 stron). Mamy dla Was kod: pasja (wpiszcie go w koszyku), dzięki któremu otrzymujemy 10% zniżki - dziękujemy zaprzyjaźnionej ekipie Sekuraka za taki bonus dla Pasjonatów! Książka to pierwszy tom z serii o ITsec, który łagodnie wprowadzi w świat bezpieczeństwa IT każdą osobę - warto, polecamy!

...