CORS配置错误
文档摘要
CORS 配置错误 某个 API 域名存在全站范围的 CORS 配置错误。这使得攻击者能够代表用户发起跨域请求,因为应用程序未对 Origin 头进行白名单限制,并且设置了 ,这意味着我们可以使用受害者的凭据从攻击者的站点发起请求。 概述 工具 要求 方法论 Origin 反射 空 Origin 受信 Origin 上的 XSS 无凭据的通配符 Origin 扩展 Origin 实验环境 参考文献 工具 s0md3v/Corsy - CORS 配置错误扫描器 chenjj/CORScanner - 快速的 CORS 配置错误漏洞扫描器 @honoki/PostMessage - POC 构建工具 trufflesecurity/of-cors - 利用内部网络中的 CORS 配置错误
评论区
(0)
U