Saltar al contenido principal

CORS Misconfiguration

Access-Control-Allow-Origin reflejando el header Origin del atacante + Access-Control-Allow-Credentials: true = cualquier dominio puede leer respuestas autenticadas de la víctima.

Categoría: Web · Vectores avanzados 🎯 TrincheraAccess-Control-Allow-Origin reflejando el header Origin del atacante + Access-Control-Allow-Credentials: true = cualquier dominio puede leer respuestas autenticadas de la víctima. 🔗 Kill chain — Página atacante hace fetch('/api/profile', { credentials: 'include' }) desde https://attacker.tld; el backend refleja Origin y entrega los datos. Roba PII, tokens, etc. 📡 Huella defensiva — Logs con Origin desde dominios externos recibiendo Access-Control-Allow-Credentials: true. ⚠️ Falso amigo — Validar Origin con endsWith('trusted.com') permite evil.com.trusted.com.attacker.tld. Validar con allowlist exacta. 🛡️ Remediación — Whitelist exacta de orígenes, nunca reflejar Origin directo, nunca combinar * con credentials: true.
Volver al glosario completo Última actualización: 2026-06-11