一次CORS漏洞的手工验证
给项目接口做安全扫描的时候,发现有个CORS漏洞:但仅仅扫出来还不够,需要手工验证一下手工验证方式在正常的api请求处,headers加入"origin":"http://xx.xx.xx.xx", 如果接口正常返回了数据且headers里包含access-control-allow-credentials : trueaccess-control-allow-origin : http://xx.xx.xx.xx就说明这个接口确实存在CORS漏洞poc代码<html>&
原创
2022-01-05 15:46:58 ·
5034 阅读 ·
0 评论