সিওআরএস শোষণের জন্য "অরিজিন" শিরোনামটিকে ভণ্ডুল করা থেকে দূষিত কোডটি কী থামাতে হবে?

আমি এটি যেভাবে বুঝতে পারি, foo.com এর কোনও পৃষ্ঠায় চলমান কোনও ক্লায়েন্ট-সাইড স্ক্রিপ্ট যদি বার ডট কম থেকে ডেটা অনুরোধ করতে চায়, অনুরোধে এটি অবশ্যই শিরোনামটি নির্দিষ্ট করে Origin: http://foo.com, এবং বারটি অবশ্যই তার প্রতিক্রিয়া জানায় Access-Control-Allow-Origin: http://foo.com।

Origin: http://foo.comবার থেকে পৃষ্ঠাগুলি অনুরোধ করার জন্য হেডারকে ছলনা করা থেকে রোহ.কম সাইট থেকে দূষিত কোড বন্ধ করার কী আছে ?

ব্রাউজারগুলি Originশিরোনাম সেট করার নিয়ন্ত্রণে থাকে এবং ব্যবহারকারীরা এই মানটিকে ওভাররাইড করতে পারে না। সুতরাং আপনি Originকোনও ব্রাউজার থেকে শিরোনাম ছদ্মবেশ দেখতে পাবেন না । কোনও দূষিত ব্যবহারকারীর একটি কার্ল অনুরোধ কারুকাজ করতে পারে যা ম্যানুয়ালি শিরোনামটি সেট করে Origin, তবে এই অনুরোধটি ব্রাউজারের বাইরে থেকে আসতে পারে এবং এতে ব্রাউজার-সম্পর্কিত তথ্য (যেমন কুকিজ) নাও থাকতে পারে।

মনে রাখবেন: সিওআরএস সুরক্ষা নয়। আপনার সাইটটি সুরক্ষিত করতে CORS এর উপর নির্ভর করবেন না। আপনি যদি সুরক্ষিত ডেটা পরিবেশন করে থাকেন তবে সেই ডেটা সুরক্ষিত করতে কুকিজ বা OAuth টোকেন বা Originশিরোনাম ছাড়া অন্য কিছু ব্যবহার করুন । Access-Control-Allow-OriginCORS শুধুমাত্র নির্দেশনা যা উদ্ভব ক্রশ-অরিজিন অনুরোধ করার জন্য অনুমতি দেওয়া হবে উচিত হেডার। এর বেশি কিছু করার জন্য এটির উপর নির্ভর করবেন না।

টিএলডিআর: দূষিত কোডটির উত্সটি স্পোফ করা থেকে বিরত করার কিছুই নেই। যখন এটি ঘটে তখন আপনার সার্ভারটি কখনই এটি সম্পর্কে জানতে পারবে না এবং অনুরোধগুলি অনুযায়ী কাজ করবে। কখনও কখনও এই অনুরোধগুলি ব্যয়বহুল। সুতরাং কোনও ধরণের সুরক্ষার জায়গায় CORS ব্যবহার করবেন না।

আমি সম্প্রতি সিওআরএসের সাথে খেলছিলাম এবং আমি নিজেই একই প্রশ্নটি জিজ্ঞাসা করেছি। আমি যা পেয়েছি তা হ'ল ব্রাউজারটি একটি স্পোফড সিওআরএস অনুরোধটি জানার জন্য যথেষ্ট স্মার্ট হতে পারে তবে আপনার সার্ভারটি তেমন স্মার্ট নয়।

প্রথম জিনিসটি আমি খুঁজে পেলাম যে Originশিরোনামটি এইচটিটিপি নিষিদ্ধ শিরোনামের নাম যা প্রোগ্রামগতভাবে পরিবর্তন করা যায় না। যার অর্থ আপনি গুগল ক্রোমের জন্য শিরোনাম সংশোধন করে প্রায় 8 সেকেন্ডে এটি সংশোধন করতে পারেন ।

এটি পরীক্ষা করতে, আমি দুটি ক্লায়েন্ট ডোমেন এবং একটি সার্ভার ডোমেন সেট আপ করেছি। আমি সার্ভারে একটি কর্স হোয়াইটলিস্ট অন্তর্ভুক্ত করেছি, যা ক্লায়েন্ট 1 থেকে ক্লায়েন্ট 2 এর চেয়ে নয় বরং CORS অনুরোধগুলি মঞ্জুরি দিয়েছিল both

তারপরে আমি Originক্লায়েন্ট 1 এর সাথে মেলে ক্লায়েন্ট 2 এর শিরোলেখটিকে ফাঁকি দিয়েছি । সার্ভারটি স্পোফড Originশিরোলেখ পেয়েছে এবং সফলভাবে শ্বেত তালিকাটি চেকটি পাস করেছে (বা আপনি যদি কাচের অর্ধেক খালি ধরণের লোক হন তবে ব্যর্থ হন)। এর পরে, সার্ভারটি যে সমস্ত সংস্থান গ্রহণ করার জন্য ডিজাইন করা হয়েছিল (ডাটাবেস কল, ব্যয়বহুল ইমেল প্রেরণ, আরও বেশি ব্যয়বহুল এসএমএস বার্তা প্রেরণ ইত্যাদি) ব্যবহার করে কর্তব্য সম্পাদন করেছিল। এটি হয়ে গেলে, সার্ভারটি খুশি হয়ে স্পুফড শিরোনামটি Access-Control-Allow-Originব্রাউজারে ফিরে পাঠিয়েছিল ।

আমি যে ডকুমেন্টেশন পড়েছি তাতে বলা হয়েছে যে Access-Control-Allow-Originপ্রাপ্ত মানটি অবশ্যই Originঅনুরোধে প্রেরিত মানের সাথে মেলে । তারা মিলছে, তাই আমি ক্রোমে নিম্নলিখিত বার্তাটি দেখে অবাক হয়েছি:

XMLHttpRequest লোড করতে পারে না http://server.dev/test। 'অ্যাক্সেস-কন্ট্রোল-অলজন-অরিজিন' শিরোনামটির একটি মান রয়েছে http://client1.dev যা সরবরাহিত উত্সের সমান নয়। উত্স http://client2.dev তাই অ্যাক্সেস অনুমোদিত নয়।

আমি যে ডকুমেন্টেশন পড়েছি তা সঠিক বলে মনে হচ্ছে না। ক্রোমের নেটওয়ার্ক ট্যাবটি স্পষ্টভাবে অনুরোধ এবং প্রতিক্রিয়া শিরোনাম উভয়ই হিসাবে দেখায় http://client1.dev, তবে আপনি ত্রুটিতে দেখতে পাচ্ছেন যে ক্রোম কোনওভাবেই জানে যে আসল উত্সটি ছিল http://client2.devএবং সঠিকভাবে প্রতিক্রিয়াটিকে প্রত্যাখাত করে। যা এই মুহুর্তে কোনও বিষয় নয় কারণ সার্ভার ইতিমধ্যে স্পোফযুক্ত অনুরোধ গ্রহণ করেছে এবং আমার অর্থ ব্যয় করেছে।

কেবল একটি নম্র মোড়ানো:

প্রশ্ন: একই ব্রাউন পলিসি (এসওপি) কেবল ব্রাউজারগুলির দ্বারা প্রয়োগ করা হয়?
উত্তর: হ্যাঁ ব্রাউজারের ভিতরে আপনি যে সমস্ত কল করেন তার জন্য ব্রাউজারটি অবশ্যই স্পষ্টভাবে প্রয়োগ করে। সার্ভার অনুরোধের উত্স পরীক্ষা করতে পারে বা নাও পারে।

প্রশ্ন: যদি কোনও অনুরোধ এসওপি মেনে না চলে, তবে ব্রাউজারটি কি তা ব্লক করে?
উত্তর: না, এটি ব্রাউজারগুলির কর্তৃত্বের বাইরে। ব্রাউজারগুলি কেবল ক্রস অরিজিন অনুরোধগুলি প্রেরণ করে এবং প্রতিক্রিয়ার জন্য অপেক্ষা করুন - কলটি সার্ভারের মাধ্যমে Access-Control- * শিরোলেখের মাধ্যমে বৈধ ইঙ্গিত দেওয়া হয়েছে কিনা তা দেখার জন্য wait যদি সার্ভার Access-Control-Allow-Originহেডারকে ফেরত না পাঠায় , কলারের উত্সকে প্রতিধ্বনিত করে না, বা শিরোনামটিতে ফিরে না পাঠায় *, তবে ব্রাউজারটি কলারের প্রতিক্রিয়া সরবরাহ করা থেকে বিরত থাকে all

প্রশ্ন: এর অর্থ কি আমি ঠক করতে পারি না Origin?
উত্তর: ব্রাউজারে এবং স্ক্রিপ্টিং ব্যবহার করে আপনি Originব্রাউজারের নিয়ন্ত্রণে থাকায় ওভাররাইড করতে পারবেন না । তবে, যদি আপনি নিজেকে হ্যাক করতে চান তবে আপনি ব্রাউজারের এক্সটেনশনগুলি বা আপনার মেশিনে ইনস্টল করা অন্যান্য সরঞ্জামগুলি ব্যবহার করে আপনার ব্রাউজার থেকে আসা কলগুলিকে টেম্পার করতে পারেন। এছাড়াও আপনি ইস্যু করতে পারে HTTPব্যবহার করে কল curl, Python, C#, ইত্যাদি এবং পরিবর্তন Originকৌতুক সার্ভারে হেডার।

প্রশ্ন: সুতরাং যদি আমি সার্ভারটি পরিবর্তন করে চালাতে Originপারি তবে এর অর্থ CORSকি সুরক্ষিত নয়?
উত্তর: CORS প্রতি সেমি সুরক্ষা সম্পর্কে নিরব - যেমন প্রমাণীকরণ এবং অনুরোধের অনুমোদন। অনুরোধগুলি পরিদর্শন করা এবং কুকিজ এবং শিরোলেখগুলির মতো তারা যে কোনও মেকানিজম দ্বারা কাজ করে তাদের এটিকে অনুমোদন / অনুমোদনের সার্ভারগুলির উপর নির্ভর করে। এটি বলার পরে, এক্সএসএসের মতো আক্রমণগুলির ক্ষেত্রে এটি আমাদের আরও কিছুটা রক্ষা করতে পারে:

উদাহরণ: ধরা যাক আপনি নিজের ওয়েবসাইটে লগ ইন করেছেন এবং একটি ক্ষতিকারক স্ক্রিপ্ট আপনার ব্যালেন্সটি অনুসন্ধানের জন্য আপনার ব্যাঙ্কের ওয়েবসাইটে একটি অনুরোধ প্রেরণের চেষ্টা করেছে: একটি প্রতিফলিত এক্সএসএস আক্রমণ। আপনার ব্যাঙ্ক ওয়েবসাইট আপনার ওয়েবসাইট থেকে (এখানে পক্ষ থেকে) আগত শংসাপত্রগুলিকে বিশ্বাস করে যাতে অনুরোধটি HTTPসত্যায়িত হয় এবং দূষিত কোডের জন্য একটি প্রতিক্রিয়া জারি করা হয়। যদি আপনার ব্যাঙ্ক ওয়েবসাইটটি অন্যান্য উত্সগুলির সাথে এর শেষ পয়েন্টগুলি ভাগ করে নেওয়ার বিষয়ে চিন্তা করে না, তবে এটি অন্তর্ভুক্ত নয়Access-Control-Allow-Originপ্রতিক্রিয়া শিরোনাম। এখন, অনুরোধটি পৌঁছে যাওয়ার পরে, ব্রাউজারটি বুঝতে পারে যে অনুরোধটি ক্রস অরিজিন্সের অনুরোধ ছিল, তবে প্রতিক্রিয়াটি দেখায় না যে সার্ভারটি আপনার ওয়েবসাইটটির সাথে সম্পদটি (এখানে ব্যালেন্স ক্যোয়ারির শেষ পয়েন্ট) ভাগ করে নিয়ে খুশি হয়েছিল। সুতরাং এটি প্রবাহ ভঙ্গ করে, অতএব প্রত্যাবর্তিত ফলাফল কখনই দূষিত কোডে পৌঁছাবে না।