CORS漏洞与可信不安全协议

免责声明

本文档描述的技术仅用于道德用途和教育目的。在未经授权的环境之外使用这些方法是被严格禁止的，因为这是非法的、不道德的，并可能导致严重后果。

必须负责任地行事，遵守所有适用法律，并遵循既定的道德准则。任何利用安全漏洞或危害他人安全、隐私或完整性的活动都是严格禁止的。

在这种情况下，目标Web应用程序实施了配置错误的跨域资源共享(CORS)策略，该策略信任所有子域，无论通信协议如何。具体来说，HTTPS和HTTP源都被授予访问敏感API端点的权限。这个缺陷允许攻击者在非安全(HTTP)子域上托管恶意代码，并利用CORS来…

创建账户以阅读完整故事

作者仅向Medium会员提供此故事

如果您是Medium的新用户，请创建新账户来阅读此故事

在应用中继续 或在移动网页中继续

使用Google注册 使用Facebook注册 使用电子邮件注册 已有账户？登录