聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Fiber 是基于 Go 语言开发的快速、灵活且高性能的 web 框架,基于快速的HTTP 路由器和高性能的HTTP处理程序。
CORS 是一种重要的机制,使 web 应用能够在不同域名之间安全地共享资源。错误配置 CORS 可为攻击者带来机会。CVE-2024-25124 的问题在于结合通配符 Origin (“*”) 与已启用的凭据的设置,这种组合违反了 web 安全最佳实践并可导致:
越权数据访问:敏感的用户信息可被泄露给恶意网站。
跨站点请求伪造 (CSRF):攻击者可诱骗用户在 web app 上执行有害操作。
其它web利用:为大量基于 web 的攻击创造启动面板。
安全公告提到,“CORS 中间件可允许不安全的配置,从而可能将应用暴露到多个与CORS关联的漏洞。具体而言,该漏洞可为通配符(“*”)设置 Access-Control-Allow-Origin 标头,同时将 Access-Control-Allow-Credentials 设置为真,这与所建议的安全最佳实践相悖。”
使用 Fiber 2.52.1之前版本的任何应用均易受攻击。如果不确定所使用版本情况,则应立即升级。
升级:修复方案已在 Fiber 2.52.1及后续版本中推出。
人工审计:查看现有的 CORS 配置。在启用凭据时不要允许使用通配符origin (“*”),确保CORS配置的安全。
安全最佳实践:熟悉CORS安全配置实践。
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
如有侵权请联系:admin#unsafe.sh