¿Existe algún riesgo al habilitar CORS con un comodín en S3?

8

De forma predeterminada, Amazon S3 bloquea las solicitudes de origen cruzado. Sin embargo, permite a los usuarios la posibilidad de configurar políticas CORS por grupo. Ofrece controles bastante elaborados para los dominios y métodos que el usuario desea habilitar.

Para mí, estos valores predeterminados conservadores y ajustes precisos sugieren que hay alguna razón por la que no quiero dejar que todos mis cubos respondan con Access-Control-Allow-Origin: * , pero por mi vida no puedo pensar en una De una sola manera se podría abusar.

S3 ya proporciona una política de ACL bastante elaborada, y los usuarios no pueden autenticarse a través de cookies (que yo sepa), por lo que el problema no parece ser que las personas obtengan información a la que no deberían poder acceder.

S3 también proporciona una forma completamente separada para bloquear el acceso a ciertos dominios por completo, incluso para etiquetas de imagen antiguas, por lo que no parece ser un problema de hotlinking.

¿Existe algún riesgo para una política de CORS súper abierta?

    
pregunta user2719333 27.08.2013 - 23:29
fuente

2 respuestas

1

Si usa el servicio web de Amazon solo para manejar contenidos públicos no protegidos como almacenar imágenes de perfil o algo más, entonces la política de apertura de cors no debe plantear ningún hilo, pero si la usa para manejar información confidencial, debe bloquear la solicitud de cors.

A veces sucede que el sitio web permite cors, pero ponen información confidencial como el token csrf, etc., que el atacante puede utilizar con fines maliciosos.

Hay numerosos casos de implementación incorrecta de la política de cors, que es el principal atacante que roba datos confidenciales, token, etc. Hay muchos informes de hackerone sobre este tipo de ataque.

enlace

enlace

    
respondido por el mohammad obaid 29.04.2017 - 17:37
fuente
1

CORS está diseñado para controlar el comportamiento del navegador. De forma predeterminada, un navegador web solo puede obtener contenido de un grupo AWS S3 a través de un enlace directo, es decir, navegar a la URL.

Con la configuración CORS correcta, puede permitir que los navegadores que visitan otros dominios obtengan estos archivos a través de AJAX. Una política CORS súper abierta solo permitirá que cualquier sitio web obtenga sus archivos a través de AJAX (posiblemente sin el conocimiento del usuario). Una política CORS "cerrada" no le permitirá ocultar nada de lo que tiene en el grupo S3, no está diseñado para hacerlo.

La parte de riesgo realmente depende de su caso de uso exacto. Digamos que almacena artículos públicos en S3 y solo desea que su sitio web pueda buscarlos en el navegador y mostrarlos. Una política súper abierta, en este caso, hará que sea trivial para otros copiar su sitio sin tener que raspar sus documentos porque con mucho gusto se los entregará también.

En general, diría que una política súper abierta para S3 no es un problema.

    
respondido por el Daniel Szpisjak 28.07.2017 - 21:46
fuente

Lea otras preguntas en las etiquetas