【原理扫描】不安全的crossdomain.xml文件和CORS(跨站资源共享)原始验证失败验证与彻底方案
不安全的crossdomain.xml文件【原理扫描】
CORS(跨站资源共享)原始验证失败【原理扫描】
吐槽一下
该漏扫是通过内网漏扫部署服务进行扫描内网minio端口探测到该minio配置不当造成的威胁。
通过nginx配置无效,且必须从MINIO本身解决;MINIO配置存在兼容性问题需多次尝试,研究。
设置corssdimain.xml配置文件设置指定域名可解决不安全的crossdomain.xml文件
访问路径:
http://192.168.3.239:3460/crossdomain.xml
请求响应:
CORS跨域资源共享漏洞解决
需配置config.json文件,设置指定限定域名
非法Origin访问
[root@localhost bin]# curl -H "Origin: http://cp.com" -I http://localhost:3460
合法Origin访问
[root@localhost bin]# curl -H "Origin: http://xxxa.com" -I http://localhost:3460
业务正常
【问题解决思路】
问题一:MINIO升级是否解决不了, MINIO 2025版本 RELEASE.2025-04-22T22-12-26Z,根据桶规则设置跨域则不支持,2025版本社区版不支持,收费版本可设置CORS 此结论在github issus中已有结论。
解决思路就是全局策略设置cros即可!
有需要可评论区留言