聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Fiber 是基于 Go 语言开发的快速、灵活且高性能的 web 框架,基于快速的HTTP 路由器和高性能的HTTP处理程序。
CORS 是一种重要的机制,使 web 应用能够在不同域名之间安全地共享资源。错误配置 CORS 可为攻击者带来机会。CVE-2024-25124 的问题在于结合通配符 Origin (“*”) 与已启用的凭据的设置,这种组合违反了 web 安全最佳实践并可导致:
-
越权数据访问:敏感的用户信息可被泄露给恶意网站。
-
跨站点请求伪造 (CSRF):攻击者可诱骗用户在 web app 上执行有害操作。
-
其它web利用:为大量基于 web 的攻击创造启动面板。
安全公告提到,“CORS 中间件可允许不安全的配置,从而可能将应用暴露到多个与CORS关联的漏洞。具体而言,该漏洞可为通配符(“*”)设置 Access-Control-Allow-Origin 标头,同时将 Access-Control-Allow-Credentials 设置为真,这与所建议的安全最佳实践相悖。”
使用 Fiber 2.52.1之前版本的任何应用均易受攻击。如果不确定所使用版本情况,则应立即升级。
-
升级:修复方案已在 Fiber 2.52.1及后续版本中推出。
-
人工审计:查看现有的 CORS 配置。在启用凭据时不要允许使用通配符origin (“*”),确保CORS配置的安全。
-
安全最佳实践:熟悉CORS安全配置实践。
原文始发于微信公众号(代码卫士):开发人员注意:速修复这个严重的 Fiber Go 漏洞!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论