NEW BOT Телеграм, страница

👍4

1.35K views05:32

Непонятное: CSP, SOP, CORS

#техническое #матчасть

У меня тут спрашивают, что из них лучше и полезнее в нашем багбаунти деле. В честь юбилейного 949-го подписчика делаю пост-ответ для новичков.

Самое главное: нужно понимать, что хотя эти аббревиатуры звучат похоже, они вообще про разное, хотя 2 из них все-таки связаны.

Обычно, когда такие вопросы возникают – нужно просто идти в гугл и читать. Но окей, let me google this for you, как говорится.

CSP – Content Security Policy или Политика Безопасности Содержимого

Вкратце: это заголовок ответа сервера, в котором он определяет правила безопасности содержимого на данной странице, которым должен следовать браузер. Туда входят правила из разряда:
- скриптам с каких доменов разрешено исполняться на этой странице (noscript-src);
- каким доменам разрешено встраивать эту страницу в iframe (frame-ancestors);
- разрешено ли использование base-тегов (base-uri).

Подробнее: https://developer.mozilla.org/ru/docs/Web/HTTP/CSP

Когда оно нам нужно: если какая-то атака (обычно XSS или Clickjacking) не работает там, где должна – надо смотреть CSP-заголовок и изучать эти самые правила, чтобы понять, не в них ли причина.

Еще иногда я заранее смотрю CSP, если собираюсь ковырять какой-нибудь сложный XSS-санитайзер. Потому что бывали случаи, когда сутки его обходишь, а потом оказывается, что на странице CSP, и XSS все равно не добиться.

Есть классный сервис проверки безопасности CSP от гугла – https://csp-evaluator.withgoogle.com. Тут можно проверить, есть ли шанс обойти CSP или ловить нечего.

SOP – Same Origin Policy или Политика Одного Источника

Вкратце: это базовый защитный принцип, который обеспечивает безопасность нашего привычного веба, и в соответствии с которым работают все браузеры. Основная мысль очень простая: один сайт не должен иметь доступ к другому сайту. Под "сайтом" браузер понимает origin, который состоит из схемы, хоста и порта.

То есть скрипт, находящийся на сайте https://google.com никак не получит данные пользователя с сайта https://yandex.ru. И даже не пройдут запросы с https://yandex.ru на http://yandex.ru, так как все три составных части origin должны быть одинаковыми, чтобы браузер разрешил такой доступ.

То же самое работает и для фреймов, поэтому если вы зафреймите к себе на сайт чужую страницу, вы никак не сможете прочитать ее содержимое.

Мы, конечно, можем отправить запрос от одного origin к другому, но браузер не пошлет вместе с ним cookie пользователя, а значит максимум мы сможем посмотреть версию страницы для неаутентифицированного пользователя, что бесполезно.

Подробнее: https://developer.mozilla.org/ru/docs/Web/Security/Same-origin_policy

Когда оно нам нужно: только когда мы еще не понимаем этот базовый принцип и пытаемся делать вещи, которые в 2022 году просто невозможны. А так один раз запомнили – и навсегда.

CORS – Cross-Origin Resource Sharing или Межсайтовое Разделение Ресурсов

Вкратце: это механизм, который позволяет легально обойти SOP. Иногда (часто) все-таки нужна возможность отправлять запросы с одного origin на другой. Для этого придумали CORS. Владелец сайта, данные с которого должны быть доступны для других сайтов, должен отправлять вместе с ответом разрешающие заголовки типа
Access-Control-Allow-Origin: https://google.com

В случае выше, запрос с сайта https://google.com сможет получить данные с такого сайта. Ну и там не все так примитивно, конечно.

Подробнее: https://developer.mozilla.org/ru/docs/Web/HTTP/CORS

Когда оно нам нужно: для поиска уязвимостей типа CORS misconfiguration. Иногда (опять же часто) список origin, которым разрешено получать данные с целевого сайта на фиксирован, а, допустим определен с помощью маски.

Например, владелец хочет, чтобы любой домен гугла мог бы прочитать данные с его сайта. И он пишет код, который смотрит на origin, который делает запрос, и если этот origin соответствует *.google.* – разрешает доступ. Периодически бывает, что этот код написан криво и мы можем также запросить эти данные, допустим, с вредоносного домена google.hacker.ru.

👍19🔥4

1.86K viewsedited 10:25