滲透測試時不妨檢查下網站引用的檔案連結吧,也順便了解下為什麼有些網站要引用腳本,而不是直接內聯 ?
原文出處:https://paper.seebug.org/527/
波波觀點:CORS 問題通常來自信任邊界錯誤
CORS 是瀏覽器用來控制跨來源資源存取的機制。它不是漏洞本身,但錯誤設定可能讓惡意網站讀取本來不該被跨站讀取的資料。滲透測試時,看到跨域 header 不代表一定有風險,重點是確認是否允許任意 Origin、是否允許 credentials,以及回應內容是否包含敏感資料。
常見檢查點
- `Access-Control-Allow-Origin` 是否動態反射任意來源。
- `Access-Control-Allow-Credentials` 是否與寬鬆 Origin 同時出現。
- API 是否依賴 Cookie、Session 或內網身份狀態。
- 回應是否包含個資、token、管理資料或內部狀態。
- 是否只允許可信任網域,並避免萬用字元誤用。
防護建議
建議以白名單方式管理允許的 Origin,避免直接反射請求中的 Origin。若 API 需要憑證,應更嚴格限制來源並搭配 CSRF 防護。測試時要用實際瀏覽器情境驗證,因為 CORS 是瀏覽器端安全模型,單純用 curl 看到 header 不一定代表可被攻擊者利用。










