CORS Misconfiguration
Cuatro variantes de CORS mal configurado: wildcard, reflejo de origen, confianza en null origin y regex bypasseable con subdomain spoofing
Ejemplos de explotación:
Cualquier origen puede leer la respuesta. Expone apiKey, email y balance sin autenticación cruzada
/api/lab/cors?mode=wildcardEl servidor refleja cualquier Origin enviado. Con cookies de sesión activas, un atacante puede robar datos autenticados
/api/lab/cors?mode=reflectEl servidor acepta Origin: null (enviado desde sandbox iframes o archivos locales). Explotable con <iframe sandbox srcdoc=...>
/api/lab/cors?mode=nullValidación errónea con .endsWith('aitana.cloud') — bypasseable con un subdominio que termine en aitana.cloud
/api/lab/cors?mode=subdomainLa allowlist estricta solo permite https://aitana.cloud — cualquier otro Origin es bloqueado
/api/lab/cors?mode=safefetch('/api/lab/cors?mode=reflect',{credentials:'include'}) — el navegador envía cookies y el CORS vulnerable las permite
/api/lab/cors?mode=reflectEl preflight OPTIONS también responde con ACAO reflejado — el atacante puede usar Authorization y Content-Type custom
/api/lab/cors?mode=wildcardLa respuesta CORS vulnerable incluye apiKey, contraseña de DB y datos de sesión — accesibles desde cualquier origen
/api/lab/cors?mode=wildcardVulnerabilidad Alta
CORS mal configurado permite que sitios externos lean respuestas autenticadas. Las cuatro variantes más comunes: (1) wildcard con datos sensibles; (2) reflejo del Origin + Allow-Credentials: true (permite robo de sesión); (3) confianza en null origin (explotable con sandbox iframe); (4) validación regex bypasseable con subdomain spoofing. El impacto real depende de si la app usa cookies de sesión — con reflect + credentials el atacante puede hacer peticiones autenticadas en nombre del usuario. OWASP A05:2021 — CVSS 8.1.
Esta aplicación es vulnerable por diseño - Solo para propósitos educativos
© 2025 Aitana Security Lab