Ir al contenido principal

🥇▷ ataque web cors

 

Cross-Origin Resource Sharing (CORS) es una política de seguridad que se implementa en los navegadores web para controlar las solicitudes entre diferentes dominios web. CORS permite que un servidor especifique qué dominios externos tienen permiso para acceder a los recursos en su servidor. Esto ayuda a prevenir ataques de Cross-Origin que podrían explotar vulnerabilidades de seguridad al acceder a recursos desde dominios no autorizados.

A continuación, te presento algunos ejemplos para comprender cómo funciona CORS y cómo se configura en el lado del servidor:

  1. Configuración básica de CORS: Supongamos que tenemos un servidor web con la API REST en api.example.com y queremos permitir que www.example.com realice solicitudes CORS. En el servidor, podemos incluir los siguientes encabezados de respuesta en las solicitudes:

Access-Control-Allow-Origin: https://www.example.com

Con esto, el servidor está configurado para permitir que solo www.example.com realice solicitudes desde el navegador.

  1. Permitir todos los dominios: En algunos casos, es posible que desees permitir que cualquier dominio realice solicitudes CORS. Para ello, puedes usar el comodín * en el encabezado de respuesta:

Access-Control-Allow-Origin: *
 

Sin embargo, debes tener en cuenta que esto puede ser un riesgo de seguridad, ya que permite a cualquier dominio acceder a los recursos de tu servidor.

  1. Especificar métodos permitidos: Además de configurar qué dominios pueden acceder, también puedes especificar qué métodos HTTP están permitidos en las solicitudes CORS: 

Access-Control-Allow-Origin: https://www.example.com
Access-Control-Allow-Methods: GET, POST, PUT, DELETE

Agregar encabezados personalizados: Si tu aplicación necesita enviar encabezados personalizados en las solicitudes, debes configurar el encabezado Access-Control-Allow-Headers:

 Access-Control-Allow-Origin: https://www.example.com
Access-Control-Allow-Headers: Authorization, Content-Type

Esto permitirá que www.example.com envíe encabezados Authorization y Content-Type en las solicitudes CORS.

Es importante tener en cuenta que CORS se basa en la política de los navegadores web y no reemplaza otras medidas de seguridad en el lado del servidor. Siempre es esencial validar y autenticar las solicitudes en el servidor antes de responder a las solicitudes CORS permitidas. La configuración incorrecta de CORS puede conducir a vulnerabilidades de seguridad, como la exposición de datos confidenciales o la ejecución de acciones no deseadas en el servidor.

Etiquetas:
Ubicación: España

Entradas populares de este blog

🥇▷ Como hackear una base de datos con sqlmap

Como hackear una base de datos con sqlmap (sql injection) sqlmap --help Nos descargamos la pagina web vulnerable (DVWA) para practicar sobre diferentes ataques a nivel Web desde la siguiente url, y seguimos los pasos que nos indican para la instalacion web y su base de datos. https://github.com/digininja/DVWA/releases Una vez instalado nos vamos a burpsuite que esta en kali linux, aunque lo podemos encontrar para windows tambien. Le damos click. En esta ventana le damos Next (siguiente). En esta ventana le damos Start burp. Se nos abrira la ventana de burpsuite. Por cierto burpsuite sirve para escanear webs y encontrar vulnerabilidades de forma automatica (30 dias gratis) o de forma manual gratis, si ya hemos localizado la vulnerabilidad atraves de un proxy. Esta vez lo hacemos de forma manual. Nos vamos a la pestaña proxy. Activamos intercept is on. Y le damos a open browser. Ponemos la direccion Web de DVWA de nuestra web vulnerable. Le d
Leer más

🥇▷ Vulnerabilidad xss en web gva.es generalitat valenciana

Vulnerabilidad xss reflected en web generalitat valenciana > gva.es El dia que encontremos 2 vulnerabilidades y la reportemos al organismo de la comunidad valenciana (españa) basada en la vulnerabilidad xss reflected. ¿Que es una vulnerabilidad xss reflected? Una secuencia de comandos en sitios cruzados o Cross-site scripting es un tipo de vulnerabilidad informática o agujero de seguridad típico de las aplicaciones Web, que puede permitir a una tercera persona inyectar en páginas web visitadas por el usuario código JavaScript o en otro lenguaje similar.
Leer más

🥇▷ Libros de Seguridad Informatica

Libros de Seguridad Informatica https://0xword.com/
Leer más