CORS

CORS 잘못된 구성 검사 — 과도하게 허용적인 Origin 헤더 화이트리스트 또는 Origin 헤더 검증 실패 포함

설명 # 허용된 Origin 헤더의 과도하게 허용적인 화이트리스트 또는 Origin 헤더 검증 실패를 포함한 CORS 잘못된 구성을 검사합니다. 또한 잠재적으로 유효하지 않거나 위험한 Origin에 대한 자격 증명 허용 여부와 캐시 포이즈닝을 유발할 수 있는 누락된 헤더도 검사합니다. 해결 방법 # 잘못 구성된 CORS 구현은 신뢰해야 하는 도메인과 신뢰 수준에 대해 과도하게 허용적일 수 있습니다. 이로 인해 신뢰할 수 없는 도메인이 Origin 헤더를 위조하여 사이트 간 요청 위조(CSRF) 또는 사이트 간 스크립팅(XSS)과 같은 다양한 유형의 공격을 시작할 수 있습니다. 공격자는 피해자의 자격 증명을 훔치거나 피해자를 대신하여 악의적인 요청을 보낼 수 있습니다. 피해자는 공격이 시작되고 있다는 사실조차 인식하지 못할 수도 있습니다. 링크 # OWASP CWE